
Comprendere le implicazioni della scadenza del certificato di avvio sicuro per gli utenti Windows
Per gli utenti di Windows 11, il termine “Avvio protetto” riveste un’importanza significativa. Questa funzionalità è uno dei prerequisiti hardware essenziali per l’installazione del sistema operativo. Introdotto per la prima volta con Windows 8 nel 2012, l’Avvio protetto si basa su certificati emessi nel 2011, la cui data di scadenza è prossima. Microsoft ha recentemente evidenziato questo problema in un post sul blog, sottolineando la necessità per le organizzazioni e i consumatori di aggiornare tempestivamente i propri certificati di Avvio protetto.
Che cosa è Secure Boot e perché è fondamentale?
Secure Boot è essenzialmente un meccanismo di protezione progettato per confermare che il firmware e il bootloader del PC siano affidabili e verificati. Poiché i certificati esistenti del 2011 scadranno a giugno 2026, il mancato aggiornamento potrebbe compromettere l’integrità del processo di avvio del dispositivo. Se i certificati obsoleti rimangono in uso, gli aggiornamenti di sicurezza essenziali per i componenti Windows Boot Manager e Secure Boot potrebbero non essere installati. Questo rende i dispositivi vulnerabili a malware bootkit sofisticati, come BlackLotus, che possono eludere il rilevamento da parte dei programmi antivirus convenzionali. Inoltre, i certificati Secure Boot scaduti possono compromettere l’affidabilità del software firmato con certificati più recenti.
Dispositivi idonei per l’aggiornamento del certificato
È importante sottolineare che sia le macchine fisiche che gli ambienti virtuali che eseguono versioni supportate di Windows, tra cui Windows 10, Windows 11 e varie edizioni di Windows Server (dal 2012 al 2025), potrebbero essere interessati dalla scadenza di questi certificati. Tuttavia, è importante notare che i PC Copilot+ lanciati nel 2025 non saranno interessati.
Azione richiesta: aggiorna i tuoi certificati
Per evitare potenziali interruzioni e rischi per la sicurezza, Microsoft esorta utenti e organizzazioni a passare ai certificati aggiornati, introdotti nel 2023. La tabella seguente riassume le informazioni essenziali relative alle prossime modifiche:
Data di scadenza | Vecchio certificato | Nuovo certificato | Funzionalità | Posizione di archiviazione |
---|---|---|---|---|
Giugno 2026 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Aggiornamenti dei segnali a DB e DBX | Chiave di registrazione chiave (KEK) |
Microsoft Corporation UEFI CA 2011 (o UEFI CA di terze parti)* |
|
|
Database delle firme consentito (DB) | |
Ottobre 2026 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Segnala il bootloader e i componenti di Windows |
Passaggi consigliati da seguire
Come possono gli utenti garantire una transizione fluida ai certificati aggiornati? Microsoft consiglia di consentire all’azienda di gestire gli aggiornamenti di Windows. A breve, i nuovi certificati verranno rilasciati tramite aggiornamenti cumulativi mensili, semplificando il processo per gli utenti. Inoltre, le organizzazioni potrebbero valutare l’iscrizione dei propri dispositivi Windows 10 al programma Aggiornamenti di sicurezza estesi, gratuito per i singoli utenti ma a pagamento per le aziende. Microsoft si impegna inoltre a fornire i certificati necessari per le configurazioni dual-boot con sistemi Linux.
Considerazioni sui dispositivi “Air-Gapped”
È fondamentale riconoscere che non tutti i dispositivi Windows saranno in grado di ricevere questi aggiornamenti. I sistemi “air-gapped”, ovvero quelli fisicamente isolati da Internet e da altre reti, avranno un accesso limitato agli aggiornamenti, proprio come i personal computer. Per questi dispositivi, Microsoft offre un supporto limitato, con maggiori dettagli disponibili nel post dedicato sul blog. Gli utenti possono anche monitorare la presenza di aggiornamenti sui certificati Secure Boot tramite questo documento di supporto.
Controllo dello stato di avvio sicuro
Per verificare se Secure Boot è abilitato sul tuo computer, premi semplicemente Win + R
, Invio msinfo32
e cerca “Secure Boot State”.
Lascia un commento