/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/01/aggiornamento-certifcati-microsoft-secure-boot-windows-10-11.jpg "Microsoft aggiorna i certificati Secure Boot su Windows 11 e Windows 10")
Microsoft ha avviato un processo di sostituzione automatica dei certificati Secure Boot in scadenza sui sistemi idonei con Windows 11 e Windows 10, introducendo un cambiamento rilevante nella gestione della sicurezza pre-boot. L’iniziativa nasce in risposta alla prossima scadenza dei certificati utilizzati per la validazione dell’avvio UEFI, prevista a partire da giugno 2026, e mira a prevenire interruzioni operative e problemi di sicurezza su larga scala.
L’aggiornamento dei certificati Secure Boot inizia ufficialmente con il rilascio degli aggiornamenti cumulativi KB5074109 e KB5073455 per Windows 11 di gennaio 2026 e con il pacchetto KB5073724 per Windows 10 (ne parliamo più avanti).
Secure Boot rappresenta uno dei pilastri della catena di fiducia moderna: attraverso il firmware UEFI, il sistema verifica che ogni componente coinvolto nella fase di avvio — in particolare il bootloader — sia firmato con certificati digitali attendibili archiviati nel firmware stesso. Il meccanismo impedisce l’esecuzione di malware a basso livello, come rootkit e bootkit, che operano prima del caricamento del sistema operativo e che, una volta insediati, risultano difficili da rilevare e rimuovere.
Perché la scadenza dei certificati Microsoft per Secure Boot è un problema critico
I certificati Secure Boot, attualmente in uso sulla maggior parte dei dispositivi Windows, hanno una validità temporale limitata. Una volta scaduti, il firmware non è più in grado di verificare correttamente la firma dei componenti di avvio più recenti. In uno scenario del genere, i rischi non sono solo teorici: un sistema potrebbe non avviarsi correttamente oppure continuare ad avviarsi ma senza poter ricevere aggiornamenti di sicurezza per i componenti pre-boot, come Windows Boot Manager.
Microsoft ha chiarito che, in assenza di un aggiornamento tempestivo dei certificati, i dispositivi con Secure Boot attivo potrebbero non fidarsi di nuovi bootloader, compromettendo sia la manutenibilità del sistema sia il suo livello di sicurezza complessivo. In altre parole, la catena di fiducia si spezza, lasciando esposta una superficie d’attacco rilevante.
Già da giugno 2025, Microsoft aveva avvertito che diversi certificati Secure Boot emessi nel 2011 sarebbero scaduti nel corso del 2026. Tra questi rientrano certificati fondamentali come il Microsoft Corporation KEK CA 2011, utilizzato per firmare gli aggiornamenti dei database DB e DBX, e il Microsoft Windows Production PCA 2011, impiegato per la firma del bootloader di Windows. La loro sostituzione con certificati più recenti — come Microsoft Corporation KEK 2K CA 2023 e Windows UEFI CA 2023 — non è un dettaglio di poco conto bensì un requisito essenziale per mantenere intatta la catena di fiducia UEFI.
Cosa sono i database DB e DBX?
Il DB (Signature Database) è l’archivio che contiene i certificati e le firme digitali attendibili. Serve a stabilire quali bootloader, driver UEFI e applicazioni EFI sono autorizzati ad avviarsi durante la fase di boot del sistema. Se un componente è firmato con una chiave presente nel DB, il firmware lo considera legittimo e ne consente l’esecuzione.
Il DBX (Forbidden Signature Database) è invece il database di revoca. Contiene firme e hash di componenti esplicitamente bloccati, perché vulnerabili, compromessi o revocati da Microsoft o dai singoli produttori. Anche se un componente era in passato valido, la sua presenza nel database DBX ne impedisce l’esecuzione, proteggendo il sistema da bootloader o driver UEFI noti per essere insicuri.
In sintesi, DB decide cosa può partire, mentre DBX decide cosa non deve mai partire, garantendo che Secure Boot resti efficace anche nel tempo, man mano che emergono nuove vulnerabilità.
Aggiornamento automatico e distribuzione controllata
Per mitigare ogni rischio, Microsoft ha introdotto un meccanismo di distribuzione graduale integrato negli aggiornamenti qualitativi di Windows. Gli aggiornamenti includono un sottoinsieme di dati di targeting ad alta affidabilità, in grado di identificare i dispositivi che possono ricevere in sicurezza i nuovi certificati Secure Boot.
Il rilascio non è indiscriminato: i dispositivi sono considerati idonei solo dopo aver dimostrato una storia di aggiornamenti riusciti, riducendo il rischio di incompatibilità firmware o di blocchi in fase di avvio.
L’approccio distribuito in più fasi riflette una strategia prudente, pensata per evitare scenari catastrofici su hardware eterogeneo, soprattutto in ambito enterprise.
Nonostante l’automazione introdotta, Microsoft sottolinea che gli amministratori IT non dovrebbero affidarsi esclusivamente a Windows Update. Per le imprese, la gestione proattiva rimane fondamentale. È possibile distribuire manualmente i nuovi certificati Secure Boot utilizzando chiavi di registro dedicate, Windows Configuration System (WinCS) o i criteri di gruppo, mantenendo così il pieno controllo sul processo di adeguamento.
La documentazione ufficiale — spesso definita Secure Boot playbook — raccomanda un approccio strutturato. Il primo passo consiste nell’inventario dell’intero parco macchine, verificando lo stato di Secure Boot tramite comandi PowerShell o chiavi di registro. Successivamente, è essenziale applicare eventuali aggiornamenti firmware del produttore, poiché un firmware obsoleto può non supportare correttamente i nuovi certificati. Solo a quel punto dovrebbe avvenire l’installazione degli aggiornamenti dei certificati Microsoft.
Ne abbiamo parlato nel dettaglio nel nostro articolo che fa luce su cosa accadrà quando i certificati Microsoft per Secure Boot scadranno a giugno 2026.
L’aggiornamento dei certificati Microsoft interessa anche i sistemi Windows 10
Ma Windows 10 non era stato ritirato da Microsoft il 14 ottobre 2025? Vero, ma gli utenti interessati (anche consumer) possono aderire al programma ESU (Extended Security Updates) che permette di ricevere gli aggiornamenti di sicurezza per Windows 10 fino ad ottobre 2026. Per gli utenti privati, l’adesione a ESU è gratuita e non implica l’attivazione di funzionalità di sistema accessorie.
Gli utenti delle versioni di Windows 10 ancora supportate (si pensi alle release Windows 10 LTSC) e gli iscritti al programma ESU (sia come privato che come azienda) possono da oggi installare l’aggiornamento KB5073724 (gennaio 2026) che sblocca la ricezione dei nuovi certificati Secure Boot.
KB5073724 allinea Windows 10 alla stessa filosofia adottata per Windows 11. A partire da questo aggiornamento, anche gli update di qualità per Windows 10 includono dati di targeting ad alta affidabilità per identificare i dispositivi idonei a ricevere automaticamente i nuovi certificati. La distribuzione resta graduale e condizionata a segnali di aggiornamento positivi, riducendo il rischio di incompatibilità firmware o di blocchi in fase di avvio.
/https://www.ilsoftware.it/app/uploads/2026/01/KB5074109-KB5073455-windows-11.jpg "KB5074109 e KB5073455: quali novità negli aggiornamenti per Windows 11")
/https://www.ilsoftware.it/app/uploads/2026/01/windows-8-linux-win8de-wayland.jpg "Windows 8 sbarca su Linux con l'audace shell Wayland Win8DE")
/https://www.ilsoftware.it/app/uploads/2026/01/addio-copertine-tracce-windows-media-player.jpg "Windows Media Player perde i metadati dei CD: addio copertine e info album automatiche")
/https://www.ilsoftware.it/app/uploads/2026/01/microsoft-ritiro-deployment-toolkit-windows.jpg "Fine di un’era: Microsoft ritira MDT dopo 20 anni, cosa cambia davvero per il deployment di Windows")