Per gli utenti con PC con più di due anni, un importante aggiornamento è all’orizzonte: la scadenza dei certificati di Windows Secure Boot a giugno 2026. Con la scadenza dei certificati attuali, si perderà l’accesso agli aggiornamenti cruciali di Secure Boot, il che potrebbe causare potenziali problemi di avvio. Sebbene Microsoft stia rilasciando gradualmente nuovi certificati tramite Windows Update, è possibile aggirare l’incertezza di questa distribuzione seguendo la nostra guida per aggiornare manualmente i certificati di Secure Boot oggi stesso.
Informazioni sui certificati di avvio sicuro
Secure Boot è una funzionalità essenziale del firmware UEFI che garantisce che il computer si avvii solo con software firmato digitalmente da produttori attendibili. Questa misura di sicurezza prevede un processo di autenticazione in più fasi, avviato tramite l’utilizzo di certificati pubblici che convalidano l’origine del software prima dell’esecuzione di qualsiasi codice.
Il firmware UEFI del tuo PC memorizza un elenco di certificati del produttore, funzionando in modo simile alle carte d’identità. Verificano che il software provenga da una fonte attendibile, offrendo così una solida difesa contro entità dannose come bootkit e rootkit, che non possono funzionare senza certificati di produttori riconosciuti.
L’importanza di aggiornare i certificati di avvio sicuro
Come molti certificati digitali, i certificati Secure Boot hanno una data di scadenza. La maggior parte dei PC prodotti prima del 2024 utilizza i certificati UEFI CA 2011 di Microsoft Corporation, la cui scadenza è prevista per giugno 2026. Una volta scaduti, il dispositivo non riceverà più aggiornamenti per Windows Boot Manager, rendendo il sistema vulnerabile alle minacce emergenti e complicando la compatibilità con il nuovo hardware che richiede firme recenti.
È fondamentale passare ai certificati Windows UEFI CA 2023 più recenti. Sebbene Microsoft stia collaborando con gli OEM per facilitare questa transizione tramite Windows Update, aggiornare manualmente i certificati in anticipo offre diversi vantaggi:
- Non vi è alcuna garanzia che Microsoft distribuirà questi certificati sul tuo dispositivo specifico prima della data di scadenza; la distribuzione è prioritaria in base all’importanza del dispositivo, il che potrebbe farti attendere all’infinito.
- I vecchi certificati del 2011 sono soggetti a vulnerabilità come il bootkit BlackLotus, che può eludere Secure Boot. Aggiornandoli ora, la sicurezza sarà immediatamente rafforzata.
- Se gli aggiornamenti di Windows sono disabilitati o se si preferisce un approccio più pratico alla gestione degli aggiornamenti, è necessaria l’installazione manuale dei certificati.
- Aggiornare i certificati secondo la pianificazione garantisce che l’unità di ripristino rimanga funzionante, evitando potenziali problemi in futuro.
Sebbene la mancanza di un aggiornamento immediato del certificato non ti impedisca di accedere al tuo PC, aumenta i rischi per la sicurezza e impedisce futuri aggiornamenti del sistema.
Verifica dei certificati di avvio sicuro del PC
È possibile che Microsoft abbia preattivato i nuovi certificati sul tuo PC. Puoi verificarlo facilmente utilizzando PowerShell.
Per iniziare, cerca “PowerShell” nella barra di ricerca di Windows, fai clic con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
Successivamente, inserisci il seguente comando:
[System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Se l’output restituisce True, il certificato è aggiornato e non sono necessarie ulteriori azioni. Se restituisce False, è il momento di procedere con l’aggiornamento dei certificati.
Passaggi per installare i certificati Secure Boot 2023
I certificati Windows UEFI CA 2023 sono probabilmente già presenti sul tuo PC. Sono stati inclusi nell’aggiornamento cumulativo di Windows 11 di febbraio 2024, ma rimangono inattivi. Se il tuo sistema è stato aggiornato dopo la versione di febbraio 2024, puoi attivare questi certificati seguendo questi passaggi:
Ancora una volta, avvia PowerShell come amministratore ed esegui questo comando:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Questo comando modifica il Registro di sistema per preparare il terreno per la distribuzione dei certificati 2023. La 0x5944maschera di bit nel comando attiva sei istruzioni che preparano il PC all’installazione di Windows UEFI CA 2023.
Per eseguire le istruzioni appena configurate, immettere il seguente comando in PowerShell:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Questo comando avvia le attività necessarie per installare i certificati durante il successivo ciclo di avvio, inclusi i controlli di compatibilità e lo spostamento dei nuovi certificati dalla cartella WinSxS all’area di staging appropriata. Durante l’elaborazione di questo comando, è possibile che il PC si blocchi leggermente.
È fondamentale riavviare Windows due volte.È essenziale riavviare il PC anziché semplicemente spegnerlo e riaccenderlo. Se l’avvio rapido è abilitato, lo spegnimento non cancellerà completamente la memoria, come richiesto affinché queste modifiche siano effettive.
Congratulazioni! Il tuo PC ora vanta i certificati Secure Boot più recenti, validi fino al 2038. Anche se non dovresti riscontrare alcun problema, se dovessero sorgere complicazioni, consulta le guide per risolvere i problemi di avvio di Windows o per gestire i cicli di avvio infiniti.
Articoli correlati:
Perché sono passato da Claude Code a Codex e mi pento di non averlo fatto prima
9:36
Comprendere NVIDIA DLSS: una spiegazione dell’upscaling e delle soluzioni alternative
9:34
Comprendere l’emulazione: vantaggi principali, svantaggi e approfondimenti.
9:32
Lascia un commento