Microsoft aggiorna i certificati di Secure Boot fermi a Windows 8 | Iniziato il rilascio

Microsoft sta migliorando la protezione del Secure Boot all’interno del firmware UEFI dei PC.

10 FEBBRAIO 2026 | Dopo aver annunciato i preparativi Microsoft ha fatto sapere che ha iniziato la distribuzione graduale dei certificati aggiornati tramite gli aggiornamenti cumulativi su Windows Update con un’installazione automatica che non richiede l’intervento degli utenti.

Abbiamo iniziato a distribuire nuovi certificati come parte dei regolari aggiornamenti mensili di Windows per supportare i dispositivi Windows per utenti domestici, aziende e scuole con aggiornamenti gestiti da Microsoft . 

Per la maggior parte degli utenti e delle aziende che consentono a Microsoft di gestire gli aggiornamenti dei PC, i nuovi certificati verranno installati automaticamente tramite il normale processo di aggiornamento mensile di Windows, senza richiedere ulteriori azioni. Alcuni sistemi specializzati, come determinati server o dispositivi IoT, potrebbero seguire processi di aggiornamento diversi e dovrebbero essere valutati come parte della pianificazione dell’implementazione. Per una frazione di dispositivi, potrebbe essere necessario un aggiornamento firmware separato dal produttore del dispositivo prima che il sistema possa applicare i nuovi certificati Secure Boot forniti tramite Windows Update. 

È importante notare che i dispositivi che eseguono versioni non supportate (Windows 10 e versioni precedenti, esclusi quelli registrati agli  Aggiornamenti di sicurezza estesi ) non riceveranno gli aggiornamenti di Windows e non riceveranno i nuovi certificati. 

14 GENNAIO 2026 | In vista della scadenza a giugno, a partire dall’aggiornamento cumulativo di gennaio Microsoft ha iniziato a preparare il rilascio dei certificati aggiornati all’ultima release sui dispositivi idonei. Non è necessario l’intervento degli utenti, la procedura automatica si basa sulla telemetria ma è importante mantenere aggiornato il proprio device con gli ultimi aggiornamenti di sicurezza.

A partire da questo aggiornamento, gli aggiornamenti qualitativi di Windows includono un sottoinsieme di dati di targeting dei dispositivi ad alta affidabilità che identificano i dispositivi idonei a ricevere automaticamente nuovi certificati di avvio protetto. I dispositivi riceveranno i nuovi certificati solo dopo aver dimostrato un numero sufficiente di segnali di aggiornamento riusciti, garantendo una distribuzione sicura e graduale .

27 GIUGNO 2025 | Microsoft ricorda agli utenti la scadenza dei certificati UEFI CA del 2011 per il Secure Boot tra un anno esatto a giugno 2026. Dopo tale data non sarà più possibile aggiornarli.

Ogni sistema Windows con Avvio protetto abilitato include gli stessi tre certificati a supporto dell’hardware di terze parti e dell’ecosistema Windows. Se non preparati, i dispositivi fisici e le VM:

• Non sarà più possibile installare gli aggiornamenti di sicurezza Secure Boot dopo giugno 2026.
• Non fidarti del software di terze parti firmato con nuovi certificati dopo giugno 2026.
• Non ricevere correzioni di sicurezza per Windows Boot Manager entro ottobre 2026.

Microsoft aggiornerà i certificati all’ultima release del 2023 nei prossimi mesi tramite gli aggiornamenti cumulativi. A tal proposito Microsoft ricorda di tenere aggiornati i firmware dei propri device e di non disabilitare il Secure Boot.

Nei prossimi mesi prevediamo di aggiornare i certificati Secure Boot come parte del nostro ultimo ciclo di aggiornamenti cumulativi.

Verifica con i tuoi OEM la disponibilità del firmware più recente. Applica eventuali aggiornamenti firmware disponibili ai tuoi sistemi Windows prima di applicare i nuovi certificati. Nel flusso di avvio sicuro, gli aggiornamenti firmware degli OEM sono fondamentali per la corretta applicazione degli aggiornamenti di avvio sicuro di Windows.

Windows non può aggiornare le variabili attive dei certificati Secure Boot se Secure Boot è disabilitato.

Microsoft rende più sicuro il Secure Boot

Le funzionalità di sicurezza rendono Windows un sistema operativo più sicuro, tuttavia come si è visto negli ultimi anni sono spesso preda di malintenzionati che sfruttano vulnerabilità per violare il sistema. Microsoft ha annunciato l’arrivo di alcune soluzioni per migliorare l’integrità dei sistemi di protezione come il Secure Boot, la funzionalità integrata nel firmware UEFI di verifica delle firme digitali per garantire l’attendibilità di un software. La configurazione dei certificati che compongono il Secure Boot è rimasta la stessa da Windows 8 e avrà scadenza nel 2026. Per tanto Microsoft ha annunciato che inizierà a rilasciare certificati aggiornati per il Secure Boot a partire dall’aggiornamento cumulativo di  febbraio 2024 per protrarsi fino alla scadenza del 2026.

In collaborazione con i nostri partner dell’ecosistema, Microsoft si sta preparando a lanciare certificati sostitutivi che stabiliranno nuovi trust Anchor CA UEFI per il futuro. Microsoft distribuirà gli aggiornamenti del database Secure Boot in più fasi per aggiungere attendibilità ai nuovi certificati DB e KEK. Il primo aggiornamento del DB aggiungerà Microsoft Windows UEFI CA 2023 al DB di sistema. La nuova Microsoft Windows UEFI CA 2023 verrà utilizzata per firmare i componenti di avvio di Windows prima della scadenza della Windows Production CA 2011. Questo aggiornamento del DB sarà facoltativo per la manutenzione e gli aggiornamenti di anteprima di febbraio 2024 e potrà essere applicato manualmente ai dispositivi. Microsoft distribuirà lentamente questo aggiornamento del DB man mano che convalideremo la compatibilità dei dispositivi e del firmware a livello globale. Il processo di implementazione controllata dell’intero aggiornamento DB per tutti i clienti Windows inizierà durante la manutenzione e gli aggiornamenti di anteprima di aprile 2024, prima della scadenza del certificato nel 2026. Nel frattempo, gli sforzi per aggiornare Microsoft UEFI CA 2011 (noto anche come UEFI CA di terze parti) e Microsoft Corporation KEK CA 2011 inizierà alla fine del 2024 e seguirà un processo di implementazione controllato simile a quello di questo aggiornamento DB.

Nel frattempo Microsoft nelle ultime ore ha aggiornato anche i database del Secure Boot per mantenere aggiornato l’elenco di elementi bloccati che sono stati identificati come vulnerabili.

Per contribuire a mantenere sicuri i dispositivi Windows, Microsoft aggiunge moduli bootloader vulnerabili all’elenco di revoche Secure Boot DBX (mantenuto nel firmware basato su UEFI del sistema) per invalidare i moduli vulnerabili. Quando l’elenco di revoche DBX aggiornato è installato su un dispositivo, Windows verifica se il sistema è in uno stato in cui l’aggiornamento DBX può essere applicato correttamente al firmware e segnalerà gli errori del registro eventi se viene rilevato un problema.

Che ne pensate dei miglioramenti della sicurezza di Windows? Ditecelo con un commento qui sotto.

Articolo di Windows Blog Italia
Fonti | 1, 2, 3