Scopri come la scadenza dei certificati Secure Boot colpirà i tuoi dispositivi Windows

Microsoft sta aggiornando i certificati di avvio protetto per mantenere la sicurezza dei dispositivi Windows. I vecchi certificati scadranno nel 2026, ma con gli aggiornamenti regolari il passaggio ai nuovi certificati dovrebbe essere fluido. Tuttavia, alcuni dispositivi più datati potrebbero non ricevere le nuove protezioni di sicurezza.

Un processo di aggiornamento del certificato di avvio protetto è attualmente in corso sui dispositivi Windows compatibili, gestito tramite il servizio Windows Update. A partire da giugno 2026, i certificati di avvio protetto rilasciati con Windows dal 2011 inizieranno a scadere. Microsoft ha annunciato che questi vecchi certificati saranno sostituiti con nuovi certificati datati 2023.

Se il tuo PC è sempre aggiornato, probabilmente non avrai bisogno di intervenire. Tuttavia, ci sono dispositivi più vecchi che potrebbero incontrare difficoltà durante la transizione.

Il malfunzionamento improvviso del tuo PC non è un evento da temere immediatamente, ma con il passare del tempo potrebbe perdere protezioni di sicurezza critiche al momento dell’avvio, senza che tu te ne renda conto. Scopriamo insieme cosa sta accadendo, perché questa situazione è cruciale e come assicurarti che il tuo computer sia aggiornato con le scadenze previste.

Cos’è Secure Boot?

Secure Boot è una funzionalità del firmware UEFI integrata praticamente in ogni PC venduto a partire dal 2012 circa.

Viene eseguita prima ancora che Windows inizi a caricarsi per verificare che il boot loader e i primi componenti di avvio siano stati firmati da una parte attendibile. Se qualcosa tenta di inserirsi nella catena di avvio che non è nell’elenco di fiducia, ad esempio un bootkit, Secure Boot si rifiuta di lasciarlo eseguire.

La parte “parte attendibile” è la parte cruciale. La fiducia viene stabilita tramite certificati crittografici integrati nel firmware della scheda madre. Gli attuali certificati sono stati emessi nel 2011 e sono ormai prossimi alla scadenza. Sono coinvolti tre certificati specifici:

• Microsoft Corporation KEK CA 2011: scade il 24 giugno 2026
• Microsoft UEFI CA 2011: scade il 27 giugno 2026
• Microsoft Windows Production PCA 2011: scade il 19 ottobre 2026

Microsoft li sta sostituendo con un set con data 2023, che include Windows UEFI CA 2023 e Microsoft Corporation KEK 2K CA 2023. Secondo gli ingegneri Microsoft, i nuovi certificati sono validi fino al 2038 e una transizione separata alla crittografia post-quantistica è prevista per circa 2030 per l’hardware futuro.

Il mio computer è a rischio?

No. Questa è la cosa più importante da capire, perché le voci sono più forti dei fatti.

Se arriva la scadenza e il tuo PC è ancora in esecuzione con i certificati del 2011, Windows si avvierà comunque, Windows Update continuerà a funzionare e il tuo PC continuerà a funzionare normalmente.

Ciò che cambia secondo le parole di Microsoft, è che il dispositivo “non sarà più in grado di ricevere nuove protezioni di sicurezza” per il processo di avvio anticipato, inclusi gli aggiornamenti a Windows Boot Manager, Database di avvio sicuro, elenchi di revoche e mitigazioni per le vulnerabilità a livello di avvio appena scoperte.

In parole povere: col tempo diventa più difficile proteggere il tuo PC. È protetto dalle minacce di boot conosciute oggi, ma non necessariamente da quelle che verranno scoperte il mese prossimo o l’anno prossimo. Ad esempio ricordiamo il CVE-2022-21894, soprannominato “Baton Drop”, che permetteva di bypassare Secure Boot su sistemi Windows completamente aggiornati. Una volta installato, poteva disattivare BitLocker, Hypervisor-Protected Code Integrity (HVCI) e Microsoft Defender prima del caricamento completo di Windows.

Questo è un problema perché i bootkit possono disabilitare gli strumenti di sicurezza che normalmente li catturerebbero.

Cosa devono sapere i team IT

Se gestisci un parco dispositivi, Microsoft ha pubblicato guide dettagliate per la gestione del caso. La versione breve:

Crea subito l’inventario dei tuoi dispositivi. Estrai il produttore, modello, versione e la data del BIOS, il prodotto della baseboard e lo stato di avvio protetto in tutto il parco dispositivi. Microsoft fornisce uno script di esempio di PowerShell all’indirizzo

aka.ms/GetSecureBoot

che mostra le chiavi di registro e gli ID evento pertinenti.

Questo è uno di quegli eventi di sicurezza che non genereranno un incidente drammatico il 24 giugno 2026. Quel giorno non si romperà nulla di visibile.

Il rischio è ciò che accade nei mesi e negli anni successivi. I dispositivi che non riescono a passare alla nuova catena di fiducia potrebbero lentamente rimanere indietro rispetto alle future protezioni a livello di avvio mentre Microsoft continua a rispondere a minacce come BlackLotus e altri bootkit.

Per la maggior parte degli utenti domestici, Windows Update gestirà la transizione automaticamente. Il tuo compito principale è mantenere aggiornato il tuo sistema e verificare lo stato di Secure Boot prima che arrivino le scadenze.

Se il tuo hardware è più vecchio, ora è un buon momento per verificare se il tuo produttore fornisce ancora aggiornamenti firmware e se il tuo PC è pronto per il prossimo decennio di protezioni Secure Boot.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance