Windows 11 mají boot manager a boot loader podepsaný certifikátem PCA 2011. Platí to i pro insider Windows 11 25H2.

To neni pravda, Windows 11 verze 25H2 není podepsán certifikátem PCA 2011. Microsoft u této verze přešel na nový certifikát Windows UEFI CA 2023, který nahrazuje starý Microsoft Windows Production PCA 2011.

Je jedno jestli má starou nebo novější verzi EFI, záleží na tom, jaké má v EFI v Signature Database (DB) důvěryhodné certifikáty.

Opoved MS:

Ano, pokud vaše základní deska podporuje pouze UEFI CA 2011, může to ovlivnit rozpoznání disku při instalaci Windows 11 v režimu UEFI. Tady je přehled, co to znamená a jak to řešit:

Co je UEFI CA 2011 a proč to může být problém
• UEFI CA (Certificate Authority) označuje certifikační klíče, které UEFI firmware používá k ověření digitálně podepsaného bootovacího kódu.
• CA 2011 je starší verze certifikátu od Microsoftu. Novější systémy jako Windows 11 (od verze 22H2 a výše) mohou vyžadovat CA 2023, což je aktualizovaný bezpečnostní standard.

Pokud firmware (BIOS) nepodporuje CA 2023, může dojít k tomu, že:
• Secure Boot selže.
• Instalátor Windows 11 v režimu UEFI nedetekuje disk, zejména pokud je ve formátu GPT.

Verze 21H2 nebo 22H2 stále používají CA 2011 a mohou být kompatibilní i se starší deskou.

PS:
Od 9. dubna 2024:
Microsoft vydal bezpečnostní aktualizaci, která umožňuje revokaci PCA 2011 pomocí tzv. DBX aktualizace – to je seznam zakázaných podpisů v Secure Boot.
Od dubna 2024:
Microsoft začal distribuovat aktualizace, které umožňují revokaci PCA 2011 a nasazení nového certifikátu Windows UEFI CA 2023 do databáze Secure Boot (DB).

""A zde jsou Hardwérové pozadavky pro Windows 11 24H2"" :

Aby bylo možné spustit Windows 11 24H2 s aktivním Secure Bootem, musí firmware základní desky:
• Obsahovat nový certifikát CA 2023 (Windows UEFI CA 2023)
• Revokovat starý certifikát PCA 2011, pokud byl zneplatněn pomocí DBX aktualizace
• Podporovat aktualizaci DBX (Forbidden Signature Database), což umožňuje správu důvěryhodných a zakázaných podpisů