/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/03/secure-boot-PC-non-aggiornati.jpg "Microsoft ripristina un’informazione cruciale su Secure Boot: cosa cambia per la sicurezza dei PC")
Un cambiamento silenzioso ma rilevante ha un impatto diretto sulla sicurezza della procedura di avvio dei sistemi Windows. I certificati crittografici su cui si basa Secure Boot, introdotti nei PC con firmware UEFI a partire dal 2011, stanno raggiungendo la fine del loro ciclo di vita. Microsoft ha avviato una sostituzione progressiva con nuove autorità di certificazione rilasciate nel 2023, distribuite tramite aggiornamenti di sistema. La scadenza dei certificati originali è fissata tra giugno e ottobre 2026, dopo circa 15 anni di utilizzo continuativo. Per gli utenti comuni l’operazione dovrebbe passare quasi inosservata, ma dal punto di vista tecnico rappresenta una manutenzione fondamentale della catena di fiducia che protegge l’avvio dei sistemi Windows.
Il meccanismo Secure Boot, la cui abilitazione è requisito essenziale per l’installazione di Windows 11, nacque insieme alla diffusione dell’architettura UEFI per contrastare una classe di malware particolarmente insidiosa: i bootkit, capaci di eseguire codice malevolo prima ancora del caricamento del sistema operativo. Il firmware verifica la firma digitale dei componenti caricati all’avvio – bootloader, driver EFI e altri moduli – confrontandola con una serie di certificati archiviati nella memoria del firmware. Se la firma non corrisponde a una chiave autorizzata, il caricamento del sistema non può proseguire.
Perché i certificati Secure Boot devono essere sostituiti
I sistemi Windows distribuiti dal 2011 in poi utilizzano una serie di certificati Microsoft inseriti nel firmware UEFI e nelle relative banche dati. Tra questi figurano il Microsoft Corporation KEK CA 2011, utilizzato per autorizzare aggiornamenti alle liste di chiavi, e il Microsoft Windows Production PCA 2011, impiegato per firmare il bootloader del sistema operativo.
Tali chiavi, progettate con una durata limitata per ragioni di sicurezza, inizieranno a scadere nel giugno 2026. Una seconda scadenza coinvolgerà altri certificati nell’ottobre dello stesso anno.
La sostituzione non avviene semplicemente rinnovando una firma. Microsoft ha introdotto una nuova generazione di certificati – indicata come Windows UEFI CA 2023 e Microsoft UEFI CA 2023 – che aggiorna l’intera struttura della catena di fiducia.
Alcune funzionalità appaiono differenziate: la firma digitale dei bootloader di terze parti, cioè i programmi che avviano il sistema operativo prima del caricamento completo, e quella delle Option ROM del firmware, piccoli moduli presenti nel firmware dei dispositivi hardware che consentono l’inizializzazione di componenti come schede di rete o controller di archiviazione durante l’avvio, utilizzano ora certificati separati. In questo modo i produttori possono stabilire con maggiore precisione quali componenti software e hardware devono essere considerati affidabili durante la fase di avvio del sistema.
Molti dispositivi venduti dal 2024 in avanti integrano già le nuove chiavi nel firmware. Per l’enorme base installata di PC esistenti, invece, l’aggiornamento arriva tramite Windows Update e, in alcuni casi, attraverso aggiornamenti del BIOS o del firmware forniti dai produttori.
Cosa succede se i nuovi certificati non vengono installati
Un aspetto spesso frainteso riguarda l’impatto della scadenza. Un computer con certificati non aggiornati continuerà ad avviarsi normalmente anche dopo il 2026. Il firmware UEFI non bloccherà il caricamento di Windows, perché le chiavi già presenti restano valide per verificare il software esistente.
Microsoft lo spiegava in una vecchia versione della documentazione di supporto. Curiosamente, però, l’informazione era sparita del tutto nelle versioni più recenti del medesimo documento.
Adesso l’azienda di Redmond ha finalmente pubblicato una versione migliorata delle FAQ sull’aggiornamento dei certificati per Secure Boot.
La differenza, osserva Microsoft, sarà riscontrabile nel lungo periodo. Senza le nuove autorità di certificazione, il dispositivo non potrà ricevere aggiornamenti di sicurezza relativi al processo di avvio. Componenti come il Windows Boot Manager, le liste di revoca o i database di chiavi Secure Boot non potranno essere aggiornati con nuove protezioni. Il sistema entrerà così in uno stato di protezione ridotta, incapace di integrare contromisure contro vulnerabilità scoperte negli anni successivi.
In pratica, il computer continuerà a funzionare ma perderà progressivamente la capacità di difendersi dalle minacce che agiscono nella fase iniziale dell’avvio. Proprio in questo spazio operano i bootkit più sofisticati, malware che manipolano il processo di boot per ottenere privilegi totali sul sistema.
Il ruolo delle liste di revoca e della catena di fiducia
Secure Boot non si limita a controllare la firma del bootloader. Il firmware mantiene diverse strutture crittografiche: la Key Exchange Key (KEK), il database delle chiavi autorizzate e il database di revoca noto come DBX. Quest’ultimo contiene firme e certificati revocati, utilizzati per bloccare componenti ritenuti compromessi.
Nel corso degli anni Microsoft ha aggiornato il DBX per neutralizzare vulnerabilità rilevanti, tra cui exploit che permettevano di bypassare Secure Boot sfruttando bootloader vulnerabili.
Senza l’aggiornamento delle chiavi principali, l’infrastruttura non potrà ricevere nuovi aggiornamenti di revoca. Ciò significa che un bootloader vulnerabile scoperto in futuro potrebbe continuare a essere accettato dal firmware di sistemi rimasti fermi ai certificati del 2011.
Distribuzione degli aggiornamenti e compatibilità hardware
Microsoft ha scelto una distribuzione progressiva per evitare incompatibilità con firmware datati o configurazioni particolari. Gli aggiornamenti dei certificati sono integrati nei normali aggiornamenti mensili di Windows e applicati in più fasi. Alcuni sistemi richiedono riavvii multipli affinché le nuove chiavi siano effettivamente scritte nelle variabili UEFI.
In un altro articolo abbiamo spiegato come verificare se Windows 11 ha applicato i nuovi certificati Secure Boot aggiornati al 2023.
Negli ambienti aziendali l’operazione di aggiornamento dei certificati può essere gestita tramite strumenti di amministrazione come Microsoft Intune, criteri di gruppo o script PowerShell che verificano lo stato del sistema. Tra gli indicatori utilizzati compare una chiave di registro dedicata allo stato dell’aggiornamento dei certificati UEFI.
La compatibilità con l’hardware rimane un elemento critico. Determinati dispositivi potrebbero necessitare di un aggiornamento firmware prima di accettare le nuove chiavi.
Per questa ragione Microsoft ha coordinato l’operazione con produttori di PC e firmware UEFI, affinché i sistemi possano ricevere i nuovi certificati senza compromettere la stabilità dell’avvio.
Implicazioni per Windows 10, Windows 11 e software di terze parti
Il processo di aggiornamento riguarda tutte le versioni di Windows ancora supportate. Nei sistemi Windows 11 l’aggiornamento avviene di solito in modo automatico attraverso i normali aggiornamenti di sicurezza. I dispositivi più recenti integrano già le nuove chiavi, riducendo la necessità di interventi manuali.
La situazione cambia per le piattaforme meno recenti. I sistemi che non ricevono più aggiornamenti di sicurezza – come le installazioni di Windows 10 che non beneficiano del programma ESU (Extended Security Updates) – non riceveranno automaticamente i nuovi certificati.
/https://www.ilsoftware.it/app/uploads/2026/03/windows-11-ottimizzazioni-AMD-Zen-6.jpg "Windows 11 26H2 potrebbe sbloccare più potenza dalle CPU AMD Zen 6")
/https://www.ilsoftware.it/app/uploads/2026/03/GPO-windows-11-windows-server-nuovo-evento.jpg "Windows 11 e Server 2025: nuovo evento 4117 rivela finalmente gli errori delle Group Policy")
/https://www.ilsoftware.it/app/uploads/2026/03/passkey-login-windows-11-bitwarden.jpg "Windows 11: login con passkey Bitwarden, addio password sul PC")
/https://www.ilsoftware.it/app/uploads/2026/03/novita-windows-12-2026.jpg "Windows 12 cambia tutto: AI integrata, nuovi requisiti hardware e lancio previsto nel 2026?")