Come controllare se Windows 11 ha applicato i nuovi certificati Secure Boot 2023

I certificati Secure Boot 2011 stanno scadendo nel 2026. Windows 11 li sostituisce con la nuova CA 2023. Ecco come verificare lo stato dell’aggiornamento e perché è fondamentale per la sicurezza di avvio.
Michele Nasi
Pubblicato il 16 feb 2026
Come controllare se Windows 11 ha applicato i nuovi certificati Secure Boot 2023

Il ciclo di vita di Windows sta attraversando una fase cruciale. La sostituzione dei certificati di Secure Boot rilasciati nel 2011 con una nuova generazione del 2023 è una transizione pianificata da tempo, ma che assume rilevanza operativa concreta con l’avvicinarsi della scadenza dei vecchi certificati, fissata tra giugno e ottobre 2026. La misura riguarda milioni di dispositivi Windows, in particolare quelli compatibili con Windows 11: qui l’avvio protetto è un requisito hardware, anche se può essere bypassato. Il contesto storico risale all’introduzione del meccanismo con Windows 8 e firmware UEFI, quando Microsoft definì una catena di fiducia basata su certificati crittografici per impedire l’esecuzione di codice non autorizzato nella fase di boot del sistema.

Con l’evoluzione delle minacce a basso livello e delle tecniche di persistenza a livello firmware, la rotazione dei certificati è una necessità tecnica. I certificati originali, Microsoft Corporation KEK CA 2011 e Microsoft Windows Production PCA 2011, stanno raggiungendo il termine della validità, imponendo l’introduzione delle controparti aggiornate della famiglia aggiornata al 2023. Il processo è gestito tramite Windows Update e firmware OEM, ma non è sempre immediatamente evidente se l’operazione sia stata completata con successo su un sistema specifico.

Il meccanismo di Secure Boot e la catena di fiducia

Il funzionamento dell’avvio protetto si basa su una gerarchia di certificati memorizzati nel firmware UEFI. Le principali entità coinvolte sono le variabili KEK (Key Exchange Key) e il database di firme DB, che contiene i certificati autorizzati a firmare il codice di boot.

Quando il sistema si avvia, il firmware verifica la firma digitale del bootloader, come bootmgfw.efi e consente l’esecuzione solo se la firma è riconosciuta e valida rispetto ai certificati presenti nel DB.

La migrazione alla catena 2023 introduce nuovi certificati, come Windows UEFI CA 2023, che sostituisce la precedente autorità di certificazione usata per firmare il Boot Manager. Il passaggio comporta l’aggiornamento della base di fiducia nel firmware e la successiva sostituzione dei binari di avvio firmati con il nuovo certificato, garantendo continuità operativa e possibilità di ricevere future mitigazioni di sicurezza.

Come Windows 11 distribuisce i certificati Secure Boot 2023

Microsoft ha integrato la distribuzione dei nuovi certificati nelle patch cumulative e negli aggiornamenti di sicurezza di Windows 11. Gli update più recenti, a partire dalla metà del 2025 e in modo più evidente nel 2026, includono procedure automatiche che aggiungono i certificati alla base UEFI e aggiornano il Boot Manager firmato con la nuova CA (Autorità di Certificazione).

Il processo può richiedere più riavvii e sfrutta attività pianificate come \Microsoft\Windows\PI\Secure-Boot-Update, che eseguono l’installazione a livello firmware. È facile accorgersi della presenza di tale attività digitando Utilità di pianificazione nel menu Start.

Alcuni dispositivi più datati possono richiedere un aggiornamento del firmware UEFI da parte del produttore per accettare i certificati 2023. Senza questo aggiornamento il sistema continuerà a funzionare, ma non potrà utilizzare la nuova catena di fiducia (il meccanismo che verifica l’integrità e l’autenticità dei componenti all’avvio).

Verifica dello stato dei certificati su Windows 11

Per verificare se il sistema ha già applicato i certificati 2023, è possibile sfruttare diversi metodi.

Innanzi tutto, è bene dare un’occhiata al contenuto del Visualizzatore eventi, premendo Windows+R quindi digitando eventvwr.msc. All’interno della sezione Sistema, si potrebbero incontrare diversi errori con ID 1801: BucketConfidenceLevel: Under Observation – More Data Needed.

Non è sintomo di alcun problema: Windows sta semplicemente confermando che i certificati nuovi sono già presenti sul sistema ma che prima di applicarli a livello firmware è bene effettuare alcune verifiche aggiuntive.

Che cos’è il “BucketConfidenceLevel”

Ogni dispositivo che riceve (o è candidato a ricevere) i nuovi certificati Secure Boot 2023 viene inserito in un bucket, cioè un gruppo di dispositivi con caratteristiche simili (modello, firmware, vendor, revisione BIOS, ecc.). A ciascun bucket è assegnato un livello di fiducia (confidence level) basato su dati raccolti da Microsoft e dagli OEM durante la distribuzione del pacchetto.

Secondo la documentazione ufficiale Microsoft, i valori possibili includono:

  • High Confidence
  • Temporarily Paused
  • Not Supported – Known Limitation
  • Under Observation – More Data Needed
  • No Data Observed – Action Required

La comparsa del messaggio BucketConfidenceLevel: Under Observation – More Data Needed sta a significare che il dispositivo non è bloccato; che i nuovi certificati sono già disponibili e acquisiti a livello di sistema; che Microsoft non ha ancora abbastanza dati statistici per autorizzare l’applicazione nel firmware sulla specifica classe di hardware.

In altre parole, il PC è in una fase di osservazione controllata. Il sistema sta raccogliendo segnali come: successo degli aggiornamenti precedenti, stabilità del boot dopo patch recenti, compatibilità del firmware UEFI con la scrittura delle chiavi, eventuali errori DB/DBX/KEK osservati su dispositivi simili.

Solo quando questi segnali sono incoraggianti e raccolti il numero sufficiente, il bucket passa a High Confidence e l’update viene scritto nel firmware.

Controllo dell’installazione dei nuovi certificati Secure Boot con PowerShell

Un’altra modalità consiste nel controllo del registro di sistema, dove la chiave UEFICA2023Status consente di identificare se l’aggiornamento è stato applicato correttamente.

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" /v UEFICA2023Status

In un altro nostro articolo dedicato ai nuovi certificati, abbiamo spiegato il significato delle risposte ottenute a valle dell’utilizzo del comando.

Anche PowerShell, come da documentazione Microsoft, può essere utilizzato per interrogare la configurazione Secure Boot e verificare la presenza dei nuovi certificati nella firma UEFI. Basta premere Windows+X, scegliere Windows PowerShell (amministratore) e infine incollare quanto segue:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘UEFI CA 2023’)

Se la risposta fosse True, significa che i nuovi certificati sono già perfettamente installati sul sistema in uso.

In ambienti enterprise, strumenti di gestione centralizzata come Intune o Configuration Manager permettono di inventariare lo stato dei certificati su larga scala.

Implicazioni operative e scenari di rischio

Il fatto di non applicare i certificati aggiornati al 2023 non blocca l’avvio immediato del sistema, ma introduce limitazioni che si manifestano progressivamente.

In assenza di una catena di fiducia aggiornata (cioè l’insieme di certificati che garantisce l’autenticità e l’integrità del software), i dispositivi non saranno più in grado di riconoscere come valide nuove firme digitali per i componenti di avvio o per future misure di sicurezza.

Col passare del tempo, aggiornamenti del sistema operativo, dei driver o del firmware potrebbero quindi risultare incompatibili con la vecchia CA, provocando difficoltà nell’avvio del sistema o nell’installazione degli aggiornamenti.

Dal punto di vista della sicurezza, la situazione è ancora più rilevante. Un sistema che utilizza certificati scaduti od obsoleti può non essere in grado di bloccare nuove varianti di malware a livello pre-boot. Il rischio aumenta nei contesti aziendali, dove le tecniche di attacco al firmware sono già state documentate e sfruttate per persistenza e bypass delle difese.

Gestione e mitigazioni per amministratori e aziende

La gestione corretta della transizione richiede un approccio strutturato. È necessario verificare che i dispositivi supportino il nuovo certificato 2023 a livello firmware, distribuire gli aggiornamenti Windows più recenti e monitorare i log di sistema per eventuali errori.

In caso di interventi manuali sul database Secure Boot, come il reset del DB o la disattivazione temporanea dell’avvio protetto, è consigliabile predisporre supporti di ripristino firmati con la nuova catena di certificazione. Rufus, in tal senso, si è già aggiornato.

La transizione ai certificati 2023 rappresenta una fase inevitabile del ciclo di sicurezza della piattaforma Windows. La verifica puntuale dello stato dell’aggiornamento consente di evitare configurazioni incoerenti e garantire che il dispositivo resti conforme alle future evoluzioni del modello di sicurezza del boot.

Ti consigliamo anche

Microsoft Patch Tuesday febbraio 2026: 6 zero-day già sfruttati mettono a rischio Windows, Office e RDP
Windows

Microsoft Patch Tuesday febbraio 2026: 6 zero-day già sfruttati mettono a rischio Windows, Office e RDP
Windows 11: arriva la gestione dei permessi ispirata ad Android
Windows

Windows 11: arriva la gestione dei permessi ispirata ad Android
Nuova era per Wine: con Eagle i programmi Windows si configurano da soli su Linux
Windows

Nuova era per Wine: con Eagle i programmi Windows si configurano da soli su Linux
Windows 11 26H1 è ufficiale: cosa cambia davvero rispetto a Windows 11 ARM
Windows

Windows 11 26H1 è ufficiale: cosa cambia davvero rispetto a Windows 11 ARM
Link copiato negli appunti