Windows Secure Boot 2026: Microsoft lancia un ultimo avvertimento sui certificati in scadenza

Microsoft ha già iniziato a distribuire la catena di certificati Secure Boot sostitutivi di cui Windows avrà bisogno quando i certificati originali del 2011 inizieranno a scadere nel giugno 2026. Notebookcheck ha recentemente trattato l'avvertimento di Microsoft e dei segnali di rollout anticipato che appaiono nei recenti aggiornamenti cumulativi, ma la prossima fase riguarda meno Windows e più la preparazione del firmware.

Se il firmware UEFI del suo PC non è pronto ad accettare e conservare i nuovi certificati 2023, Windows Update può tentare il passaggio e lasciare il dispositivo bloccato in quello che Microsoft descrive come uno stato di sicurezza degradato, in cui i futuri aggiornamenti di sicurezza legati all'avvio potrebbero non essere applicati in modo pulito.

Cosa sta effettivamente scadendo e quando?

Le ancore di fiducia di Microsoft per il Secure Boot , in vigore da molto tempo, iniziano a scadere dal 2011 del 2011 iniziano a scadere a fine giugno 2026, con ulteriori scadenze più avanti nel 2026. La ripartizione di Dell è una delle tempistiche pubbliche più chiare, in quanto elenca la prima data di scadenza del certificato del 2011 come il 24 giugno 2026 (Microsoft Corporation KEK CA 2011), seguita dal 27 giugno 2026 (Microsoft Corporation UEFI CA 2011), e un altro certificato chiave che scade il 19 ottobre 2026 (Microsoft Windows Production PCA 2011).

In pratica, i diversi fornitori ripetono la stessa linea di fondo: si prevede che i sistemi continuino ad avviarsi, ma i dispositivi che non passano alla catena di certificati dell'era 2023 possono perdere la capacità di ricevere i futuri aggiornamenti del bootloader e del Secure Boot, da cui deriva la dicitura "sicurezza degradata".

La parte di Microsoft: Windows può fornire la nuova catena di fiducia, ma solo se il firmware collabora

L'abilitatore tecnico chiave è già presente nelle build di Windows supportate. La nota KB5036210 di Microsoft che gli aggiornamenti di Windows rilasciati a partire dal 13 febbraio 2024 includono la possibilità di applicare il certificato Windows UEFI CA 2023 al database della firma UEFI Secure Boot Allowed (db), e che l'aggiornamento del db è necessario per ricevere i futuri aggiornamenti del boot loader attraverso gli aggiornamenti mensili.

Microsoft afferma inoltre che "la maggior parte dei dispositivi Windows personali" dovrebbe ricevere i nuovi certificati automaticamente attraverso gli aggiornamenti gestiti da Microsoft, ma avverte esplicitamente che alcuni dispositivi potrebbero richiedere un aggiornamento del firmware OEM per applicare correttamente i nuovi certificati.

Dove entrano in gioco gli OEM: Chiavi attive vs. chiavi predefinite, e perché i reset possono essere dannosi per lei

In questo caso, la politica del firmware del fornitore è più importante di quanto la maggior parte degli utenti domestici si renda conto. La FAQ Secure Boot Transition di Dell distingue tra il database Active Secure Boot (quello che il sistema applica effettivamente all'avvio e che Windows Update modifica comunemente) e il database Default Secure Boot (quello impostato in fabbrica, in genere aggiornato tramite il flashing del BIOS). Dell avverte anche che alcune azioni del firmware, come l'attivazione della "Modalità chiave esperta", possono cancellare le variabili attive che provengono da Windows Update, se il database predefinito non è stato aggiornato in modo appropriato.

Lo stesso documento di Dell descrive anche una "strategia a doppio certificato", affermando che Dell ha iniziato a distribuire sia i certificati del 2011 che quelli del 2023 sulle piattaforme appena lanciate alla fine del 2024 e ha esteso questo approccio alle piattaforme sostenibili in uscita dalle fabbriche entro la fine del 2025.

La guida di Lenovo per i PC commerciali inquadra analogamente la correzione come un aggiornamento del BIOS che aggiunge i certificati 2023 alle variabili Secure Boot predefinite, con passaggi aggiuntivi talvolta necessari per attivare le variabili 2023 sui sistemi che non sono già preconfigurati. Segnala anche il ripristino di BitLocker come potenziale effetto collaterale, motivo per cui il backup delle chiavi di ripristino prima delle modifiche del firmware rimane una buona pratica.

L'avviso di HP dice anche che ha lavorato con Microsoft per preparare i prodotti HP abilitati al Secure Boot per i nuovi certificati per i nuovi certificati e avverte che la scadenza del certificato può impedire ai sistemi di ricevere gli aggiornamenti di sicurezza relativi a Secure Boot e Windows Boot Manager, aumentando l'esposizione alle minacce di tipo bootkit.

Il problema delle schede madri fai-da-te e di gioco: a volte è necessario "installare le chiavi predefinite" da soli

ASUS è uno dei pochi fornitori rivolti ai consumatori che ha pubblicato una guida altamente procedurale, passo dopo passo, per questa transizione, che include come confermare che le nuove voci 2023 sono presenti nel firmware e cosa fare se non lo sono.

Nella sua FAQ sul supporto https://www.asus.com/support/faq/1055903/aSUS descrive come navigare nella gestione delle chiavi UEFI Secure Boot e verificare che KEK includa "Microsoft Corporation KEK 2K CA 2023" e che il db includa "Windows UEFI CA 2023" (insieme ad altre voci Microsoft dell'era 2023). Documenta anche i passaggi di riparazione come "Installa le chiavi di avvio sicuro predefinite" o "Ripristina le chiavi di fabbrica" dopo l'aggiornamento del BIOS, che di fatto ripopola i database delle chiavi dall'archivio predefinito del firmware.

Questa è la lacuna che tende a colpire maggiormente i sistemi fai-da-te: Windows può fornire aggiornamenti, ma il firmware della scheda madre può richiedere un intervento manuale prima che le nuove chiavi siano completamente presenti e attive.

Come verificare la prontezza utilizzando i segnali ufficiali di Microsoft

Per le flotte gestite dall'IT, il manuale di Microsoft Secure Boot delinea indicatori concreti che può monitorare.

Microsoft afferma che una distribuzione riuscita può essere confermata controllando le voci del registro eventi di sistema di Windows per l'ID evento 1808, e che i fallimenti nell'applicazione dei certificati aggiornati sono associati all'ID evento 1801. Lo stesso playbook fa riferimento anche alla chiave di registro UEFICA2023Status che alla fine dovrebbe essere "Aggiornato", e nota che la chiave UEFICA2023Error non dovrebbe esistere a meno che non sia in corso un errore.

Il playbook raccomanda anche esplicitamente di applicare gli aggiornamenti del firmware OEM prima degli aggiornamenti di Windows relativi al Secure Boot, se la sua organizzazione ha identificato dei problemi o se il suo OEM raccomanda un aggiornamento del BIOS, il che rafforza il tema generale: il lato Windows è solo metà della storia.

Il caso limite di Windows 10 "zombie" è ancora reale

Infine, l'aggiornamento dei certificati è un altro punto di pressione per i ritardatari di Windows 10. La documentazione di supporto di Microsoft afferma che il supporto di Windows 10 termina il 14 ottobre 2025, e Microsoft posiziona Windows 10 Extended Security Updates (ESU) come il percorso a pagamento per continuare a ricevere gli aggiornamenti di sicurezza dopo tale data.

La guida Secure Boot di Microsoft ribadisce anche che i dispositivi con versioni di Windows non supportate non ricevono gli aggiornamenti di Windows, motivo per cui il passaggio a Secure Boot è di fatto vincolato alla permanenza in Windows 10 è effettivamente legato alla permanenza in un percorso di assistenza supportato (o ESU per Windows 10, dove applicabile).