Rufus supporta Windows CA 2023 e Windows 11 25H2: come creare USB avviabili compatibili con Secure Boot

Rufus, uno degli strumenti open source più popolari per creare supporti USB avviabili, ha recentemente introdotto il supporto per Windows CA 2023, una novità chiave per garantire la compatibilità con Secure Boot e assicurare che Windows si avvii senza problemi. Pete Batard, sviluppatore di Rufus, ha inoltre confermato l’introduzione del supporto per Windows 11 25H2, la più recente versione del sistema operativo Microsoft che debutterà ufficialmente a ottobre 2025.

Cos’è Windows CA 2023 e perché è necessario usare Windows 11 25H2 con Rufus

Nel changelog di Rufus 4.10 appare la seguente indicazione:

Add support for creating Windows CA 2023 compatible media (requires a Windows 11 25H2 ISO)

Molti utenti si chiedono cosa significhi e perché sia necessario utilizzare una ISO di Windows 11 25H2.

Windows CA 2023 è il nuovo certificato (CA sta per Certificate Authority) utilizzato da Microsoft per firmare il bootloader di Windows. A partire dal 2024, infatti, l’azienda di Redmond ha iniziato a revocare le firme dei bootloader precedenti, richiedendo il nuovo certificato per garantire la compatibilità con Secure Boot. L’obiettivo è rafforzare la sicurezza del processo di avvio, prevenendo attacchi tramite bootloader non autorizzati o manomessi.

Il ruolo degli attacchi bootkit

Negli ultimi anni, gli attacchi bootkit sono diventati una minaccia concreta per Windows. Un bootkit è un malware che si installa nel bootloader del sistema, caricandosi prima del sistema operativo stesso. Questo gli permette di controllare il processo di avvio di Windows, evitare i controlli di sicurezza standard come antivirus o kernel protection, installarsi in modo persistente, spesso invisibile all’utente.

I bootkit o comunque qualsiasi codice in grado di funzionare a livello di bootloader è in grado di operare prima di qualsiasi protezione del sistema operativo, rendendo difficili rimozione e rilevamento.

Un esempio significativo è il bootkit BlackLotus, che ha sfruttato una vulnerabilità nota come CVE-2022-21894 per bypassare Secure Boot e compromettere i sistemi Windows. L’attacco ha evidenziato la necessità di un aggiornamento del certificato di firma del bootloader per garantire una protezione adeguata contro tali minacce.

Perché è importante il supporto di Rufus per Windows CA 2023?

La creazione di un supporto di avvio compatibile con Windows CA 2023 è essenziale per garantire che il sistema operativo possa avviarsi correttamente sui dispositivi con Secure Boot abilitato, in particolare su quelli che hanno aggiornato il certificato anche a livello di firmware. Senza questa compatibilità, anche se il supporto di avvio è stato creato correttamente, il sistema potrebbe non avviarsi a causa della mancata verifica della firma del bootloader.

Rufus 4.10 e versioni successive consentono di creare un supporto di avvio che include il bootloader firmato con il certificato Windows CA 2023. Per creare un supporto che include (anche) il certificato Windows CA 2023, è necessario fornire un file ISO di Windows 11 25H2. Rufus integra automaticamente il bootloader firmato nel processo di creazione del supporto di avvio, assicurando piena compatibilità con Secure Boot, anche nelle configurazioni più recenti e aggiornate.

L’immagine ISO di Windows 11 25H2 integra il certificato Windows CA 2023, ma include anche i certificati più vecchi (come quelli emessi nel 2011) che scadranno nel 2026. Questo significa che i supporti di avvio creati con Windows 11 25H2, ad esempio con Rufus, possono funzionare sia su sistemi che richiedono certificati vecchi sia su quelli già aggiornati al nuovo certificato CA 2023.

Come aggiornare i sistemi esistenti a Windows CA 2023

Microsoft ha annunciato che i certificati di Secure Boot utilizzati nella maggior parte dei dispositivi Windows scadranno a partire da giugno 2026. La scadenza riguarda i certificati emessi nel 2011 e utilizzati per garantire l’integrità del processo di avvio del sistema. Per mantenere la sicurezza e la compatibilità, è necessario aggiornare questi certificati con le nuove versioni rilasciate nel 2023.

I dispositivi che ricevono aggiornamenti automatici da Microsoft (ad esempio, tramite Windows Update) otterranno i nuovi certificati in modo trasparente, senza necessità di intervento manuale. È però importante assicurarsi che:

• Il dispositivo sia in esecuzione su una versione supportata di Windows 10 o Windows 11.
• Secure Boot sia abilitato nel firmware UEFI del dispositivo.
• Gli aggiornamenti di Windows non siano sospesi.

Aprendo una finestra PowerShell con i diritti di amministratore quindi incollando i comandi seguenti, otterrete True o False a seconda che stiate utilizzando il vecchio certificato CA Microsoft o il più recente Windows CA 2023:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2011'

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

Lo stato di Rufus e Windows 11 25H2

Al momento della stesura di quest’articolo, Rufus 4.10 è disponibile in versione beta. Anche Windows 11 25H2 non è scaricabile in versione definitiva ma soltanto come Release Preview.

L’ultima versione di anteprima di Windows 11 può essere scaricata dalla pagina del programma Windows Insider oppure facendo riferimento al sito UUP dump. Windows 11 25H2 Release Preview riporta il numero di build 26200.

Il tema dei certificati CA 2023 impatta ovviamente anche sul mondo Linux. Secondo la comunità open source la migrazione verso i nuovi certificati è un aspetto da tenere certamente in considerazione ma il cambio dei certificati Secure Boot lato Linux non è motivo di preoccupazione.