Microsoft ha segnalato di recente una scadenza imminente dei certificati Secure Boot a partire da giugno 2026. Si tratta di un evento che può impedire l’avvio sicuro dei dispositivi Windows.
Per evitare questo genere di blocchi e downtime, sono stati rilasciati due specifici aggiornamenti, KB5081494 e KB5083482, i quali sono destinati a Windows 11 24H2 e 25H2. Senza queste patch, i sistemi rischiano interruzioni e perdita di accesso,. Q’ quindi necessario quanto prima procedere ad un adeguamento dell’infrastruttura IT.
La scadenza di questi certificati, non è un piccolo dettaglio tecnico, ma un punto critico. Microsoft ha già deciso di anticipare questo problema con un avviso molto chiaro. Da giugno del 2026, tutti i sistemi non aggiornati potrebbero smettere di avviarsi in maniera corretta.
Il tema quindi riguarda tutti e non stiamo parlando solo delle grandi aziende. Anche i dispositivi personali e i server aziendali rientrano all’interno dello stesso perimetro di rischio. Il punto in effetti è molto semplice: senza la rotazione dei certificati, il meccanismo di fiducia (che risulta alla base dell’avvio sicuro) smette di funzionare.
Il KB5081494 interviene sul processo di installazione di Microsoft Windows 11. Migliora i componenti di setup e prepara il sistema operativo a riconoscere i nuovi certificati Secure Boot. Tradotto: chi installerà o aggiornerà il sistema operativo risulterà protetto, senza specifici interventi successivi e senza riavvio richiesto. Questo dettaglio conta, perché elimina un attrito operativo per tutte le aziende.
Ma il vero nodo è un altro. Il KB5083482 invece, agisce sul Windows Recovery Environment. Qui il rischio è più subdolo. Se l’ambiente non è aggiornato, anche il ripristino del sistema potrebbe fallire. E in scenari di crisi, questo significa la perdita del controllo totale sull’infrastruttura.
L’aggiornamento risolve anche un problema tecnico nelle architetture ARM64, dove le applicazioni x64 non funzionavano in modo corretto con WinRE. Ma c’è una condizione: una volta installato, non si torna più indietro e diventa permanente.
Molte organizzazioni pensano che il rischio sia nei sistemi operativi, ma i dati dicono il contrario. La vera falla è la supply chain degli aggiornamenti con i suoi ritardi, i test infiniti, le approvazioni lente. Questo scenario apre anche un problema serio che è sempre il solito, se la patch arriva in ritardo, potrebbe essere troppo tardi per gestire il rischio.
Microsoft ha reso gli aggiornamenti disponibili tramite Windows Update, WSUS e catalogo manuale senza alcun prerequisito. Dopo l’installazione del KB5083482, serve verificare la build di WinRE la quale deve essere 10.0.26100.8107. Aspettare risulta essere la scelta peggiore. Le ultime settimane prima della scadenza potranno essere molto caotiche. Sistemi non aggiornati, recovery inutilizzabili, blocchi improvvisi.
E la domanda vera è un’altra: cosa succederà quando il prossimo ciclo crittografico non avrà nemmeno un preavviso così ampio?
FAQ - Domande e risposte frequenti 1. Cosa succede ai dispositivi Windows dopo la scadenza dei certificati Secure Boot a giugno 2026?
I dispositivi non aggiornati potrebbero smettere di avviarsi correttamente. Il problema nasce perché il meccanismo di fiducia alla base dell’avvio sicuro non riconoscerà più i certificati scaduti. Da quel momento il sistema può bloccarsi già in fase di boot. Microsoft ha segnalato che il rischio riguarda sia macchine personali sia server aziendali, senza distinzione di contesto operativo. 2. Perché Microsoft ha rilasciato gli aggiornamenti KB5081494 e KB5083482?
Servono a prevenire blocchi e perdita di accesso ai sistemi quando i certificati scadranno. Il primo prepara il sistema operativo a gestire i nuovi certificati mentre il secondo aggiorna l’ambiente di recovery. Senza queste patch il rischio non è teorico ma concreto. Non è un caso che l’avviso sia arrivato con largo anticipo rispetto alla scadenza prevista. 3. In che modo KB5081494 protegge i sistemi Windows 11?
Agisce direttamente sul processo di installazione migliorando i componenti di setup. Questo consente al sistema di riconoscere i nuovi certificati Secure Boot senza richiedere interventi manuali successivi. L’aggiornamento non richiede riavvio e questo elimina un ostacolo operativo spesso sottovalutato. Chi aggiorna o installa Windows 11 nelle versioni supportate risulta già pronto per la scadenza. 4. Perché KB5083482 è considerato più critico rispetto all’altro aggiornamento?
Interviene sul Windows Recovery Environment e quindi sul meccanismo di ripristino del sistema. Se questo ambiente non è aggiornato il recupero in caso di errore può fallire completamente. In uno scenario reale questo significa perdere la possibilità di intervenire su sistemi bloccati. Vale la pena ricordarlo perché il problema emerge proprio quando serve una soluzione rapida. 5. Cosa cambia per i sistemi ARM64 con l’aggiornamento KB5083482?
Viene risolto un problema che impediva alle applicazioni x64 di funzionare correttamente con WinRE. Questo difetto poteva creare ulteriori complicazioni durante le operazioni di ripristino. Dopo l’installazione però l’aggiornamento diventa permanente. Non è possibile tornare indietro e questo richiede una valutazione preventiva soprattutto in ambienti complessi. 6. Qual è il rischio reale se si ritarda l’installazione degli aggiornamenti?
Il rischio è arrivare troppo tardi quando i sistemi iniziano a non avviarsi più. Le ultime settimane prima della scadenza potrebbero diventare caotiche con recovery inutilizzabili e blocchi improvvisi. Il problema non nasce dal sistema operativo in sé ma dai ritardi nella distribuzione delle patch. Infatti molte organizzazioni accumulano approvazioni lente e test infiniti. 7. Come si possono installare questi aggiornamenti e ci sono prerequisiti?
Sono disponibili tramite Windows Update, WSUS e catalogo manuale senza prerequisiti specifici. Questo permette una distribuzione immediata anche in ambienti diversi. Dopo aver installato KB5083482 è necessario verificare la build di WinRE. Il valore richiesto è 10.0.26100.8107 e rappresenta l’unico controllo operativo esplicitamente indicato. 8. Perché la supply chain degli aggiornamenti viene indicata come il vero punto debole?
Perché i ritardi nella gestione delle patch possono rendere inutile anche un avviso anticipato. I processi interni spesso rallentano l’adozione degli aggiornamenti fino a superare le scadenze critiche. In questo caso la finestra temporale è ampia ma non infinita. Forse il dettaglio meno ovvio è che il rischio nasce più dall’organizzazione che dalla tecnologia. 9. Cosa comporta la mancata rotazione dei certificati Secure Boot?
Il sistema perde la capacità di verificare l’integrità dell’avvio. Senza certificati validi il meccanismo di sicurezza non riconosce più i componenti come affidabili. Di conseguenza il boot può essere bloccato o compromesso. Questo scenario riguarda qualsiasi dispositivo che utilizza Secure Boot, dai PC domestici fino alle infrastrutture aziendali più critiche.
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance
