I certificati Secure Boot che proteggono l’avvio dei PC Windows dal 2011 stanno per scadere e la questione riguarda praticamente tutti. Dal 24 giugno 2026, infatti, inizia la scadenza progressiva dei certificati Microsoft che da oltre un decennio garantiscono l’integrità del processo di boot. Niente panico, però: i computer non smetteranno di funzionare da un giorno all’altro. Il punto è un altro, e vale la pena capirlo bene.
Secure Boot è una funzionalità nata con Windows 8 e il firmware UEFI. Prima che il sistema operativo si avvii, il firmware controlla le firme digitali di una serie di componenti fondamentali: driver UEFI, Option ROM (quei moduli software integrati in periferiche come schede video o controller di rete), applicazioni EFI usate nelle fasi iniziali di avvio e i bootloader, cioè i programmi che caricano il sistema operativo vero e proprio. Lo scopo è assicurarsi che nulla sia stato manomesso.
Ora, i certificati che rendono possibile tutto questo hanno una data di scadenza. Microsoft Corporation KEK CA 2011 scade il 24 giugno 2026, Microsoft UEFI CA 2011 il 27 giugno 2026 e Microsoft Windows Production PCA 2011 il 19 ottobre 2026. Senza l’aggiornamento ai nuovi certificati 2023, i dispositivi perderanno progressivamente protezioni essenziali contro bootkit, revoche DBX e aggiornamenti del Windows Boot Manager.
La catena di fiducia durante l’avvio si basa su più livelli: la PK (Platform Key) governa l’intera piattaforma, la KEK (Key Exchange Key) autorizza gli aggiornamenti degli archivi di firme digitali, DB contiene le firme considerate affidabili e DBX include quelle revocate. I nuovi certificati 2023 sostituiscono questa base: Microsoft Corporation KEK 2K CA 2023 per aggiornare DB e DBX, Windows UEFI CA 2023 per il bootloader Windows, Microsoft UEFI CA 2023 per bootloader e applicazioni EFI di terze parti, Microsoft Option ROM UEFI CA 2023 per le Option ROM.
Cosa rischia chi non aggiorna i certificati Secure Boot
Va detto chiaramente: chi ignora la scadenza non si ritroverà con un PC inutilizzabile. Microsoft ha chiarito che i dispositivi continueranno ad avviarsi e a ricevere gli aggiornamenti standard di Windows. Il problema, semmai, è tutto sulla sicurezza dell’avvio. Senza i certificati 2023 il dispositivo non potrà ricevere nuove protezioni per componenti critici in fase di boot, aggiornamenti del Windows Boot Manager, nuove revoche DBX o mitigazioni contro vulnerabilità scoperte dopo la scadenza.
Il rischio concreto ha un nome ben preciso: i bootkit. Si tratta di malware capaci di inserirsi prima ancora che il sistema operativo parta. Un caso come BlackLotus ha già dimostrato nel 2023 quanto sia critica la componente Secure Boot. Quando una firma compromessa o un bootloader vulnerabile devono essere bloccati tramite la DBX, il firmware deve poter accettare l’aggiornamento. Se la vecchia KEK è scaduta e quella nuova non è stata installata, il sistema resta scoperto. Funziona, certo, ma con un meccanismo di sicurezza che non può più essere aggiornato.
Per chi usa Windows 11 aggiornato su un PC domestico, la transizione dovrebbe avvenire in modo automatico. Per molti utenti è già successo nelle scorse settimane. I PC venduti dal 2024 in poi, poi, spesso includono già i certificati aggiornati. Le situazioni più delicate riguardano hardware più datato, firmware non mantenuti, sistemi con Secure Boot disattivato, macchine virtuali, server e ambienti aziendali con immagini di avvio personalizzate.
Verifica e aggiornamento manuale dei certificati Secure Boot
Un dettaglio tecnico che fa la differenza: Microsoft non applica l’aggiornamento quando Secure Boot risulta disabilitato nel firmware. La ragione è che i firmware UEFI non si comportano tutti allo stesso modo. Alcuni aggiornano le variabili anche con Secure Boot spento, altri applicano modifiche solo al riavvio, altri ancora possono cambiare stato in modo imprevedibile alla riattivazione. Se il sistema usa un vecchio BIOS legacy, Windows rileva l’assenza di supporto reale e salta la procedura. Se il PC usa UEFI con il modulo CSM attivo (che simula il vecchio avvio BIOS), la possibilità di aggiornamento dipende dalla configurazione del firmware.
Per verificare lo stato della macchina, il metodo più affidabile passa da PowerShell. Il comando Confirm-SecureBootUEFI restituisce True se il sistema sta avviando Windows con Secure Boot attivo. Per controllare la presenza dei certificati 2023, il comando da usare in una finestra PowerShell con diritti di amministratore è:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match “UEFI CA 2023”)
Se restituisce True, nel Signature Database UEFI è già presente almeno un riferimento ai certificati Microsoft 2023.
Chi deve procedere manualmente può abilitare il flag AvailableUpdates nel registro di sistema tramite PowerShell elevato, impostando il valore 0x40 che ordina a Windows di applicare l’aggiornamento DB. Dopo aver scritto la chiave, va avviato il task pianificato Secure-Boot-Update. Windows preparerà i payload EFI nella cartella dedicata e pianificherà la scrittura delle variabili firmware durante il riavvio successivo.
Il riavvio è obbligatorio e su molte macchine il sistema effettua automaticamente due o tre reboot consecutivi: il primo salva i blob EFI nel firmware, il secondo aggiorna DB o KEK, l’ultimo carica il nuovo Boot Manager firmato con la catena 2023. Quanto a BitLocker, Microsoft indica che il meccanismo di aggiornamento dei certificati Secure Boot evita richieste impreviste della chiave di ripristino. Non è quindi necessario sospendere BitLocker, anche se resta buona pratica verificare che la chiave di ripristino risulti archiviata correttamente nell’account Microsoft, in Entra ID, Active Directory o nel sistema di gestione scelto.
