Secure Boot a rischio: cosa succede quando i certificati Microsoft scadono nel 2026

Secure Boot è uno dei pilastri della sicurezza sui moderni PC. Quando un dispositivo si avvia, Secure Boot (il cui utilizzo è, sulla carta, un requisito essenziale per l’installazione di Windows 11) verifica che ogni componente caricato (firmware, driver UEFI, bootloader, kernel) sia firmato da una fonte attendibile. Senza questa catena di fiducia, malware sofisticati possono prendere il controllo ancor prima che qualsiasi antivirus o sistema operativo sia attivo. La fiducia è basata su certificati digitali presenti nel firmware: chiavi crittografiche che dicono “questa firma è valida, proviene da una fonte affidabile”.

Nel 2011 Microsoft emise i certificati Secure Boot standard presenti su quasi tutti i PC Windows: Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011 e Microsoft Corporation UEFI CA 2011. In tutti questi anni sono serviti come autorità di fiducia per validare firmware e bootloader firmati da Microsoft o dai produttori OEM.

Cosa implica la scadenza dei certificati Secure Boot a giugno 2026

Dopo 15 anni, i certificati Secure Boot di Microsoft cominceranno a scadere a giugno 2026, completando l’intero ciclo di scadenza entro ottobre dello stesso anno. Senza certificati aggiornati, le macchine potrebbero non più ricevere aggiornamenti di sicurezza del boot, rifiutare componenti firmati con chiavi più recenti o addirittura non riuscire ad avviarsi con Secure Boot abilitato.

A novembre 2025, Microsoft ha pubblicato una guida ufficiale — Secure Boot playbook for certificates expiring in 2026 — con istruzioni per i team IT su come prepararsi, fare un inventario dei dispositivi, applicare aggiornamenti firmware e monitorare lo stato delle chiavi crittografiche.

La gestione delle chiavi Secure Boot con il registro di Windows

Quando si parla di aggiornare o gestire i certificati di Secure Boot sui sistemi Windows, sono essenzialmente coinvolti due elementi:

• Firmware (OEM BIOS/UEFI): componente essenziale da cui le chiavi sono lette e usate all’avvio.
• Componente software Windows: inserisce nuove chiavi nel firmware (tramite apposite variabili UEFI) o aggiorna il boot manager.

Per coordinare quest’aggiornamento, Microsoft mette a disposizione diversi valori di registro sotto la chiave HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot e all’interno di Servicing.

Come si aggiornano i certificati

Microsoft sottolinea che, per molti sistemi, l’aggiornamento dei certificati dovrebbe avvenire automaticamente tramite Windows Update.

Inoltre, molti OEM (Dell, HP, Lenovo) stanno distribuendo aggiornamenti del firmware con i nuovi certificati. Ad esempio, Dell lo fa tramite Dell Command Update (DCU); HP attraverso Client Management Script Library; Lenovo tramite lsupdate.

C’è poi una speciale chiave del registro di Windows che permette di forzare l’aggiornamento dei certificati impostando HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\AvailableUpdates a 0x5944. Lo si può fare anche dal prompt dei comandi, in questo modo:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Aggiornamento dei certificati Secure Boot: come Windows utilizza il bitmask 0x5944

Quando si imposta la chiave di registro HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\AvailableUpdates a 0x5944, Windows attiva un processo coordinato e sicuro per aggiornare l’intera catena di fiducia di Secure Boot, che non si limita a sostituire un singolo certificato, ma gestisce più componenti critici del sistema.

In primo luogo, il bitmask 0x5944 indica al sistema di inserire le nuove chiavi UEFI CA 2023 nel firmware, garantendo che tutti i componenti firmati con queste nuove chiavi siano considerati affidabili al boot. Contemporaneamente, viene aggiornata la KEK (Key Exchange Key), chiave di autorizzazione che consente alle nuove CA di modificare e validare il bootloader. Senza questa operazione, anche la presenza delle nuove CA non sarebbe sufficiente per far partire correttamente il sistema.

Successivamente, Windows aggiorna il boot manager con firme compatibili con le nuove chiavi, assicurando che il sistema possa avviarsi senza problemi anche dopo la scadenza dei certificati 2011.

Tutto questo viene gestito tramite un’attività pianificata interna, chiamata Secure Boot Update, che esegue le modifiche in background e richiede spesso uno o più riavvii, perché alcune operazioni sul firmware possono avvenire solo al boot.

Impostare 0x5944 significa dire a Windows di orchestrare automaticamente ogni passaggio necessario per mantenere la sicurezza e la compatibilità del boot, trasformando un aggiornamento critico dei certificati in un processo controllato e tracciabile, con stati monitorabili tramite appositi valori di registro come UEFICA2023Status e UEFICA2023Error.

Requisiti fondamentali (da non ignorare)

Prima di eseguire il comando descritto in precedenza, Secure Boot deve essere attivo (con Secure Boot è disabilitato, l’aggiornamento non può avere luogo).

Inoltre, il firmware UEFI deve supportare le nuove chiavi e l’esecuzione del comando reg deve necessariamente avvenire da un prompt dei comandi aperto con i diritti di amministratore.

Verifica dello stato dell’aggiornamento dei certificati Secure Boot

Microsoft fornisce valori di stato che possono essere in qualunque momento verificati, sempre con reg, per verificare lo stato dell’aggiornamento:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" /v UEFICA2023Status

Valori tipici: 0 significa “Non iniziato“; 1 “In corso“; 2 “Completato correttamente“. Eventuali errori sono rilevabili con il comando reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" /v UEFICA2023Error. Se il valore esiste ed è diverso da 0, indica un problema (di solito un firmware non compatibile).

Se UEFICA2023Status = 2 e UEFICA2023Error = 0, il sistema usa già le nuove chiavi 2023.

In un altro nostro articolo, abbiamo a suo tempo spiegato come verificare i certificati salvati nel BIOS UEFI del PC. Si possono impartire i seguenti comandi da una finestra PowerShell aperta con i diritti amministrativi (avendo cura di autorizzare con la pressione del tasto S l’installazione e l’importazione del modulo UEFIv2):

Install-Module -Name UEFIv2
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Import-Module UEFIv2

Get-UEFISecureBootCerts DB | fl > $env:USERPROFILE\certificati.txt
notepad $env:USERPROFILE\certificati.txt

Perché non è solo un semplice aggiornamento Windows

Una delle parti più critiche del processo descritto, è che il firmware deve supportare l’inserimento delle nuove chiavi. I certificati nuovi non sono “sostituiti” su SSD e hard disk: devono essere scritti in variabili UEFI nel firmware non volatile. Senza supporto OEM adeguato, non è possibile completare l’aggiornamento, neanche con i comandi di Windows.

Per questo motivo, Microsoft suggerisce di fare un inventario dei dispositivi in uso nella propria infrastruttura IT per identificare quali supportano Secure Boot e quali già hanno nuove chiavi; applicare firmware/BIOS aggiornati degli OEM prima di tentare aggiornamenti software; eseguire test pilota e monitoraggio tramite le chiavi del registro viste in precedenza ed eventuali strumenti di gestione (GPO, Intune, System Center, ecc.).