0) Do 16. 9. 2025 jsem se o UEFI CA 2023 vůbec nezajímal. Stačilo mi ale asi 10 minut pokecu s Copilotem a myslím, že chápu jak to funguje. Doporučuju ti to samé. Níže uvedený text jsem psal já, ne Copilot.

1) EFI soubory Windows 11 25H2 jsou podepsané certifikátem PCA 2011.
Tu máš důkaz.
Windows11_InsiderPreview_Client_x64_cs-cz_26200.iso
Jedná se o originální insider instalačku Windows 11 25H2 26200.5074
Překontrolovaná spousta efi souborů: bootx64.efi, bootmgr.efi, bootmgfw.efi, winload.efi atd.
Všechny jsou podepsané pomocí PCA 2011.
Screen pro winload.efi

Prosím, stáhni si instalačku Windows 11 25H2 a podívej se jakým certifikátem jsou podepsané.

2) To samé co je v bodu 1 platí i pro Windows 11 24H2
MVS iso uvolněné 16. 9. 2025
cs-cz_windows_11_consumer_editions_version_24h2_updated_sep_2025_x64_dvd_6d1ad20d.iso
Windows 11 24H2 26100.6584
Screen pro winload.efi

3) To samé platí i pro nainstalované Windows 11

4) Windows 11 24H2 s aktivním Secure Bootem nevyžaduje certifikát CA 2023 v EFI. Naopak je normální stav takový, že se jede na PCA 2011, protože v EFI je defaultně PCA 2011 a efi soubory v instalačce Windows jsou podepsané PCA 2011.
Například já mám Windows 11 24H2, aktivní Secure Boot, efi soubory PCA 2011, v EFI jen PCA 2011 a normálně mi to funguje. To ti mám udělat taky screeny? Tu je výpis všech certifikátů z efi mého pc (jsou tam jen dva 2011):

Jaké další screeny mám udělat?

5) Volitelně se může jet na CA 2023, postup jak přejít na CA 2023 je třeba tu:
https://support.microsoft.com/cs-cz/topic/spr%C3%A1va-odvol%C3%A1n%C3%AD-spr%C3%A1vce-spou%C5%A1t%C4%9Bn%C3%AD-syst%C3%A9mu-windows-pro-zm%C4%9Bny-zabezpe%C4%8Den%C3%A9ho-spou%C5%A1t%C4%9Bn%C3%AD-spojen%C3%A9-s-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
Je tam myslím uvedeno, kdy dojde k vynucení CA 2023, nebude to dřív než v lednu 2026.

6) K instalaci Windows na zařízení s CA 2023 je myslím potřeba vytvořit instalačku se soubory podepsanými pomocí CA 2023.
Jak takovou instalačku připravit je popsané tu:
https://support.microsoft.com/cs-cz/topic/aktualizace-spou%C5%A1t%C4%9Bc%C3%ADho-m%C3%A9dia-windows-tak-aby-pou%C5%BE%C3%ADvalo-spr%C3%A1vce-spou%C5%A1t%C4%9Bn%C3%AD-podepsan%C3%BD-pca2023-d4064779-0e4e-43ac-b2ce-24f434fcfa0f

7) bla bla bla
a)
"Novější systémy jako Windows 11 (od verze 22H2 a výše) mohou vyžadovat CA 2023"
Jistě, když si uděláš instalačku s podepsanými efi soubory pomocí CA 2023
b)
"Secure Boot selže. Instalátor Windows 11 v režimu UEFI nedetekuje disk, zejména pokud je ve formátu GPT."
Asi jó, když si uděláš instalačku s podepsanými efi soubory pomocí CA 2023 a v EFI bude PCA 2011
c)
"Verze 21H2 nebo 22H2 stále používají CA 2011 a mohou být kompatibilní i se starší deskou."
I 24H2 a 25H2 používají PCA 2011.
d)
"Od... Microsoft"
Co Microsoft od kdy jsem ti sepsal v tomto příspěvku.

8)
Jsi, narozdíl ode mě, milovník programu Rufus.
Četl jsi toto?
Rufus FAQ PCA 2011
Cituji:

However, even with the Windows 11 25H2 release, Microsoft is still publishing installation images using bootloaders signed with the problematic PCA 2011 certificate by default, thereby further delaying the move away from this untrustworthy certificate, while also making it difficult for people who did revoke PCA 2011 to install Windows 11 on those platforms, since UEFI bootloaders can only be signed by one certificate (which means that you can't simply have a Windows UEFI bootloader that works for both PCA 2011 and Windows UEFI CA 2023 when Secure Boot is enabled).

Odpovím si sám, nečetl jsi to

9) Stačí tak?