A fine giugno 2026 alcuni certificati fondamentali per Secure Boot, il sistema che protegge l’avvio dei PC Windows, raggiungeranno la scadenza dopo circa 15 anni di servizio. Non si tratta di un blocco improvviso dei computer, ma di un aggiornamento necessario per mantenere sicura la fase più delicata del sistema: l’avvio.
Secure Boot funziona tramite una catena di fiducia che verifica la firma digitale dei componenti caricati prima dell’avvio di Windows, impedendo a minacce come i bootkit di prendere il controllo della macchina nelle prime fasi. I certificati Microsoft del 2011 utilizzati da molti dispositivi stanno arrivando alla fine del loro ciclo: il Microsoft Corporation KEK CA 2011 scadrà il 24 giugno 2026, il Microsoft UEFI CA 2011 il 27 giugno 2026 e il Microsoft Windows Production PCA 2011 il 19 ottobre 2026.
Dopo la scadenza i PC continueranno a funzionare normalmente, ma quelli che non avranno completato la transizione rischieranno di non poter ricevere in futuro nuovi aggiornamenti della protezione Secure Boot, comprese nuove revoche e contromisure contro vulnerabilità nella fase di avvio.
Il passaggio riguarda i nuovi certificati Microsoft del 2023, già presenti sui dispositivi più recenti e destinati a sostituire gradualmente quelli del 2011. Per la maggior parte degli utenti l’aggiornamento arriverà tramite Windows Update, mentre nelle aziende sarà necessario verificare lo stato delle macchine e pianificare la migrazione.
La prima operazione da fare è un inventario dei dispositivi per individuare quali utilizzano ancora i vecchi certificati e quali risultano già aggiornati. Il controllo può essere effettuato tramite gli strumenti di sicurezza di Windows o tramite script PowerShell. Successivamente bisogna verificare il metodo di distribuzione scelto, assicurandosi che gli aggiornamenti Secure Boot vengano applicati correttamente.
Vanno inoltre considerati i casi più delicati, come firmware datati, sistemi dual boot con Linux, supporti di avvio esterni, server e macchine virtuali con Secure Boot attivo, dove potrebbero essere necessari interventi aggiuntivi.
Il Patch Tuesday del 9 giugno 2026 sarà un momento importante per verificare la situazione prima delle scadenze di fine mese. Secure Boot continuerà a funzionare, ma mantenerlo aggiornato sarà essenziale per garantire protezione contro le minacce future.
https://www.ictsecuritymagazine.com/cyber-security/secure-boot-scadenza-2026/
