Cosa accade da giugno 2026 ai PC senza certificati Secure Boot aggiornati

Secure Boot nasce con Windows 8 e UEFI: prima dell’avvio del sistema operativo, il firmware verifica le firme digitali di driver UEFI, cioè i componenti che permettono al firmware di comunicare con l’hardware; delle Option ROM, ovvero i moduli software integrati in alcune periferiche come schede video o controller di rete; delle applicazioni EFI utilizzate nelle fasi iniziali di avvio e dei bootloader, i programmi incaricati di caricare il sistema operativo, per assicurarsi che siano autentici e non modificati.

Dal 24 giugno 2026 iniziano a scadere i certificati Microsoft usati dal 2011 per proteggere l’avvio dei PC Windows. I sistemi continueranno ad accendersi e rimarranno regolarmente funzionanti, ma senza usare i più aggiornati certificati 2023 perderanno progressivamente protezioni essenziali contro bootkit, revoche DBX e aggiornamenti del Windows Boot Manager.

Perché i certificati Secure Boot 2011 vanno sostituiti

La catena di fiducia durante l’avvio del sistema si basa su più livelli di controllo: la PK (Platform Key), solitamente gestita dal produttore del dispositivo, governa l’intera piattaforma; la KEK (Key Exchange Key) autorizza gli aggiornamenti degli archivi delle firme digitali; DB contiene le firme considerate affidabili dal firmware; DBX, invece, include le firme revocate e i componenti che devono essere bloccati per motivi di sicurezza.

I certificati CA (Autorità di Certificazione) Microsoft del 2011 non possono restare validi per sempre: Microsoft Corporation KEK CA 2011 scade appunto il 24 giugno 2026, Microsoft UEFI CA 2011 il 27 giugno 2026, Microsoft Windows Production PCA 2011 il 19 ottobre 2026.

I certificati 2023 sostituiscono la base preesistente: Microsoft Corporation KEK 2K CA 2023 per aggiornare DB e DBX, Windows UEFI CA 2023 per il bootloader Windows, Microsoft UEFI CA 2023 per bootloader e applicazioni EFI di terze parti, Microsoft Option ROM UEFI CA 2023 per le Option ROM.

Va detto che non si tratta di un normale aggiornamento software: Windows deve preparare i file, portarli nel firmware della scheda madre e poi usare un Boot Manager firmato con la nuova catena di fiducia.

Cosa succede se non si aggiorna entro giugno 2026

Chi ignora la scadenza non si troverà davanti a un PC inutilizzabile il giorno dopo. Microsoft chiarisce che i dispositivi continueranno ad avviarsi e riceveranno gli aggiornamenti standard di Windows. Il problema riguarda la sicurezza dell’avvio: senza i certificati 2023, il dispositivo non potrà ricevere nuove protezioni per componenti critici in fase di boot, aggiornamenti del Windows Boot Manager, nuove revoche DBX o mitigazioni contro vulnerabilità scoperte dopo la scadenza.

Il rischio reale riguarda malware come i bootkit, capaci di inserirsi prima del sistema operativo. Una minaccia come BlackLotus ha già dimostrato nel 2023 quanto sia critica la componente Secure Boot: quando una firma digitale compromessa o un bootloader vulnerabile devono essere inseriti nella DBX, cioè l’elenco dei componenti bloccati, il firmware deve riuscire ad accettare l’aggiornamento. Se la vecchia KEK, la chiave usata per autorizzare gli aggiornamenti di sicurezza, è scaduta e quella nuova non è stata installata, il sistema non può ricevere le nuove protezioni. Il computer continua a funzionare, ma si basa su un meccanismo di sicurezza ormai non più aggiornato.

Per gli utenti domestici con Windows 11 aggiornato, la transizione ai nuovi certificati dovrebbe avvenire in modo automatico (e per tanti utenti è già avvenuta nel corso di queste settimane). Inoltre, i PC venduti dal 2024 in poi spesso includono già i certificati aggiornati.

Le situazioni più delicate riguardano hardware più vecchio, firmware non mantenuti, sistemi con Secure Boot disattivato, macchine virtuali, server e ambienti aziendali con immagini di avvio personalizzate.

Perché Secure Boot deve essere attivo durante l’aggiornamento

Microsoft non applica l’aggiornamento quando Secure Boot risulta disabilitato nel firmware. La scelta puà sembrare prudente fino all’eccesso, ma ha una ragione tecnica: i firmware UEFI non si comportano tutti allo stesso modo: alcuni aggiornano correttamente le variabili anche con Secure Boot spento, altri applicano modifiche solo al riavvio, altri ancora possono cambiare stato in modo poco prevedibile quando l’utente riattiva la funzione.

Se il sistema usa un vecchio BIOS legacy, Windows rileva che non esiste supporto reale a Secure Boot e salta la procedura. Se il PC utilizza UEFI con il modulo CSM attivo, che serve a simulare il vecchio avvio BIOS legacy, il sistema può comunque supportare Secure Boot; in questo caso, la possibilità di aggiornamento dipende dalla configurazione del firmware UEFI.

Un caso frequente riguarda installazioni di Windows nate in modalità MBR e poi spostate su macchine UEFI: Secure Boot richiede avvio UEFI puro e unità GPT. Se Windows non parte con Secure Boot attivo, prima bisogna correggere la configurazione di avvio: convertire il supporto di memorizzazione, verificare la partizione EFI, aggiornare il firmware OEM e rimuovere vecchie dipendenze da Option ROM non firmate correttamente.

Verifica tecnica dei certificati Secure Boot e aggiornamento manuale

Chi vuole controllare lo stato della macchina non dovrebbe limitarsi all’interfaccia della sezione Sicurezza di Windows. Il metodo più affidabile passa attraverso l’uso di PowerShell, Registro degli eventi e dalla verifica diretta delle variabili UEFI. Per prima cosa conviene controllare se Secure Boot risulta attivo e supportato dal firmware:

Confirm-SecureBootUEFI

Se il comando restituisce True, il sistema sta avviando Windows con Secure Boot attivo. In caso di errore o False, bisogna verificare configurazione UEFI, modalità CSM e schema di partizionamento GPT. Per controllare la presenza degli aggiornamenti Secure Boot 2023 si possono interrogare gli eventi TPM-WMI:

Get-WinEvent -LogName System | Where-Object {$_.ProviderName -match "TPM-WMI"}

Gli eventi più importanti sono quelli associati agli ID 1795, 1796, 1801 e 1032. Event ID 1801 indica spesso che i certificati risultano scaricati ma non ancora applicati al firmware. Se compare la voce BucketConfidenceLevel con valore Need more data, Microsoft non ha ancora promosso automaticamente quel modello hardware nel gruppo ad alta affidabilità.

Come abbiamo visto nell’articolo su come controllare l’aggiornamento dei certificati Secure Boot, il comando più efficace per verificare la presenza dei certificati 2023 è il seguente (da impartire in una finestra PowerShell aperta con i diritti di amministratore):

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match "UEFI CA 2023")

Se PowerShell restituisce True, significa che nel Signature Database UEFI compare almeno un riferimento ai certificati Microsoft 2023.

Aggiornamento manuale dei certificati

Microsoft ha introdotto un meccanismo basato su chiavi del registro di sistema, operazioni pianificate e aggiornamenti firmware progressivi. Prima di tutto bisogna verificare quattro prerequisiti fondamentali:

• Secure Boot attivo nel firmware UEFI;
• avvio UEFI puro senza CSM legacy;
• disco GPT e non MBR;
• firmware BIOS/UEFI aggiornato.

Dopo il controllo preliminare, è eventualmente possibile abilitare manualmente il flag AvailableUpdates nel registro di sistema. Da prompt PowerShell elevato:

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -PropertyType DWord -Value 0x40 -Force

Il valore 0x40 ordina a Windows di applicare l’aggiornamento DB dei certificati Secure Boot 2023. In alcuni casi Microsoft usa anche combinazioni differenti di flag per KEK, DB e DBX, ma 0x40 e’ il forcing piu’ comune per il deployment iniziale del nuovo DB.

Dopo aver scritto la chiave bisogna avviare manualmente il task schedulato:

Start-ScheduledTask -TaskName "Secure-Boot-Update"

Oppure:

schtasks /Run /TN "\Microsoft\Windows\PI\Secure-Boot-Update"

A questo punto Windows prepara i payload EFI nella cartella:

C:\Windows\System32\SecureBootUpdates

e pianifica la scrittura delle variabili firmware durante il reboot successivo.

Il riavvio è obbligatorio: come spiegato in precedenza, su molte macchine il sistema effettua automaticamente due o tre reboot consecutivi. Il primo salva i blob EFI nel firmware, il secondo aggiorna DB o KEK, l’ultimo carica il nuovo Boot Manager firmato con la catena di fiducia 2023.

Riavvii multipli, BitLocker e variabili firmware

L’aggiornamento dei certificati usati da Secure Boot può causare più riavvii e non è un sintomo di qualche problema. Ciò è dovuto al fatto che Windows deve preparare i certificati, scriverli nelle variabili firmware, riavviare affinché il firmware li elabori e poi caricare un Boot Manager capace di gestire la nuova catena. Se l’utente forza manualmente il task pianificato, questi passaggi diventano più visibili rispetto al flusso automatico.

La procedura tiene conto anche dell’eventuale uso di BitLocker. Microsoft indica che il meccanismo di aggiornamento dei certificati Secure Boot evita richieste impreviste della chiave di ripristino: non è quindi necessario sospendere BitLocker.

Il consiglio, però, resta quello di controllare attentamente che la chiave di ripristino (recovery key, in inglese) risulti archiviata correttamente nell’account Microsoft, in Entra ID, Active Directory o nel sistema di gestione scelto (può essere ad esempio esportata in locale e salvata su un supporto di memorizzazione esterno).