Fin dalla sua nascita nel 2011, Secure Boot ha supportato silenziosamente l’ecosistema dei PC, ma dal 2023 al 2025 ha acquisito un’importanza inaspettata, con grande disappunto di Microsoft, degli OEM e dei fornitori di firmware. Quella che un tempo era una discreta funzionalità di sicurezza è improvvisamente diventata notizia di prima pagina, poiché il lancio dei certificati CA-2023 ha rivelato persistenti incongruenze nelle implementazioni del firmware, nella gestione dei certificati e nei processi di aggiornamento in tutto il settore dei PC. Sfortunatamente, i risultati non sono stati né illuminanti né piacevoli.
Gli utenti Windows si sono trovati di fronte a una serie sconcertante di complicazioni, tra cui avvisi di avvio confusi, sequenze di avvio interrotte e consigli poco chiari o contraddittori da parte dei fornitori. Invece di promuovere fiducia e affidabilità, Secure Boot sembrava introdurre un ulteriore elemento di incertezza e frustrazione.
Questo articolo svela le complessità che circondano Secure Boot, analizzandone la funzione, l’importanza, le implicazioni dello standard CA-2023, gli errori commessi dai fornitori e le soluzioni pratiche per gli utenti che riscontrano problemi con l’aggiornamento di Secure Boot. Chiarerò ogni acronimo, vi guiderò attraverso la catena di fiducia in dettaglio e condividerò le conoscenze acquisite durante una difficile esperienza nella gestione di un parco di 10-15 PC per garantire la conformità alle normative Secure Boot tramite i certificati di avvio CA-2023. Questo percorso è stato fondamentale per ampliare la mia comprensione dell’argomento.
Comprendere Secure Boot e la sua importanza
Secure Boot, componente integrante definito dall’Unified Extensible Firmware Interface (UEFI), la moderna soluzione di Intel che sostituisce il BIOS tradizionale, è progettato per garantire che all’avvio del sistema vengano eseguiti solo bootloader e componenti del sistema operativo affidabili e firmati.

Il processo Secure Boot si basa su una serie di chiavi crittografiche memorizzate nel firmware, che determinano la legittimità di ciò che è consentito e di ciò che è proibito.
Componenti chiave dell’avvio protetto
Chiave di piattaforma (PK) : l’identificativo principale del proprietario del sistema, in genere installato dagli OEM durante la produzione. Il detentore della PK controlla le impostazioni di avvio protetto (Secure Boot).
Chiave di scambio chiavi (KEK) : questa chiave gestisce gli aggiornamenti dei database di Secure Boot. Generalmente gestita da Microsoft, OEM o amministratori aziendali, una KEK valida consente a terze parti certificate di aggiornare i certificati e i database gestiti da UEFI.
Database delle firme consentite (DB) : contiene hash e certificati per bootloader e componenti del sistema operativo attendibili. Se una firma corrisponde a una voce nel DB, il firmware ne consente l’esecuzione.
Database delle firme proibite (DBX) : questo elenco blocca qualsiasi elemento precedentemente considerato affidabile che ora è stato compromesso. Gli aggiornamenti al DBX sono essenziali per la revoca dei bootloader vulnerabili. Il CA-2011 ha avviato questi processi di revoca, con l’intenzione di Microsoft di eliminarlo gradualmente entro il 2026, adottando progressivamente il CA-2023.
Perché l’avvio protetto (Secure Boot) è fondamentale?
Secure Boot è progettato per prevenire rootkit, bootkit e altre minacce malware preesistenti al sistema operativo. Una volta ottenuto l’accesso alla catena di avvio, gli aggressori possono eludere il rilevamento e operare indisturbati. Secure Boot offre una protezione fondamentale contro tali intrusioni.
Sebbene Secure Boot sia teoricamente una soluzione robusta, la sua implementazione nel mondo reale si rivela spesso complessa e frammentata. La sua importanza è cresciuta e, sebbene funzioni efficacemente quando è configurato correttamente, possono sorgere problemi che risultano dispendiosi in termini di tempo e frustranti per gli utenti.
Il compromesso CA-2023 che ha suscitato attenzione
All’inizio del 2023, Microsoft ha rivelato una grave vulnerabilità di sicurezza relativa ai file binari di Windows Boot Manager meno recenti, che avrebbe potuto consentire l’elusione dei protocolli Secure Boot. In risposta, Microsoft ha rilasciato l’aggiornamento di revoca CA-2023 DBX, che ha bloccato l’esecuzione dei bootloader difettosi e ha introdotto un nuovo bootloader firmato con un certificato corrispondente e resistente a tali vulnerabilità.
Motivazioni alla base di questa azione
Attori malintenzionati avevano iniziato a sfruttare bootloader obsoleti per aggirare le protezioni di Secure Boot. Pertanto, la revoca di questi file binari era fondamentale per salvaguardare l’integrità dell’ecosistema.
Perché questo ha compromesso i sistemi?
Una moltitudine di produttori OEM si è trovata ad affrontare:
- Configurazioni del firmware obsolete
- Implementazione non uniforme di DB/DBX
- Processi di aggiornamento difettosi
- Implementazioni non standard di Secure Boot
- Configurazioni dei tasti incomplete o errate
- Firmware che ignora gli aggiornamenti DBX
- Il firmware blocca di fatto i sistemi dopo gli aggiornamenti DBX.
Questo processo di revoca ha messo in luce anni di debiti tecnici irrisolti. Spesso, il semplice tentativo di aggiornamento causava malfunzionamenti significativi, con conseguente mancato riavvio dei PC o, nei casi più gravi, il loro totale blocco all’avvio.
Conseguenze della legge CA-2023
Milioni di computer hanno riscontrato uno o più problemi, come ad esempio:
- Avvio protetto abilitato ma non riesce ad applicare le revoche
- Avvio protetto disabilitato a causa di aggiornamenti non riusciti
- Avvio protetto bloccato in “Modalità utente” con chiavi non corrispondenti
- Sistemi impossibilitati ad avviarsi dopo gli aggiornamenti DBX
- Firmware che ha impedito l’implementazione dell’aggiornamento CA-2023
Questo sconvolgimento non ha riguardato solo Microsoft, ma ha rappresentato una carenza collettiva in tutto il settore. Gli utenti con sistemi interessati hanno dovuto affrontare numerose difficoltà. Ad esempio, il mio PC con processore Ryzen 5 e scheda madre ASRock B550 Extreme4 ha presentato diversi problemi che mi hanno costretto a sostituire la scheda madre.
Decodifica della “Secure Boot Chain”
Per comprendere la turbolenza causata dalla CA-2023, dobbiamo esaminare sistematicamente la catena della fiducia:
- Il firmware verifica la validità della chiave pubblica (PK).
- Il firmware autentica le KEK per gli aggiornamenti di DB e DBX.
- Il firmware carica i database DB e DBX definendo le azioni consentite e quelle vietate.
- Il firmware verifica il bootloader. Se corrisponde a una voce nel database e non è presente nel DBX, l’esecuzione procede.
- Il bootloader ispeziona i componenti del sistema operativo, convalidando le firme su
winload.efidriver e vari componenti di avvio iniziali. - Il sistema operativo si avvia con la fiducia verificata e il funzionamento prosegue normalmente.
Tuttavia, questi passaggi presentano ampie possibilità di complicazioni. Una miriade di problemi può interrompere il processo, tra cui:
- Una firma mancante nel database
- KEK obsoleti
- Un PK errato
- Gestione errata degli aggiornamenti del firmware
- Bootloader non corrispondenti (poiché Windows potrebbe utilizzare una copia diversa dalla partizione EFI rispetto all’istanza memorizzata in
C:\Windows)
Tali discrepanze possono comportare che Secure Boot non applichi involontariamente i suoi protocolli di sicurezza. Ad esempio, il mio sistema ha visualizzato messaggi errati relativi a “modifiche alla CPU”, complicando ulteriormente il processo di avvio.
Problemi comuni di avvio sicuro riscontrati dai produttori di schede madri
L’implementazione dello standard CA-2023 ha evidenziato notevoli disparità nelle competenze relative al firmware tra i diversi produttori. Alcuni dispositivi hanno funzionato senza problemi, mentre altri hanno riscontrato difficoltà che andavano da piccoli inconvenienti a guasti totali. Analizziamo come i vari produttori hanno affrontato queste difficoltà.
ASUS: Molte schede madri ASUS inizialmente richiedevano la disabilitazione di Secure Boot per applicare gli aggiornamenti DBX, creando una situazione paradossale. In altri casi, gli aggiornamenti lasciavano i sistemi in uno stato di “revoca parziale”.
MSI: Diverse schede madri MSI hanno riscontrato problemi con:
- Gestione incoerente degli aggiornamenti DBX
- Firmware che ignora gli aggiornamenti
- Modalità di avvio protetto non corrispondenti alle etichette dell’interfaccia utente
- Ripristino inatteso delle chiavi di fabbrica
ASRock: Gli utenti si trovavano spesso a dover affrontare interventi manuali, tra cui:
- Sgombero chiavi
- Ripristino delle impostazioni di fabbrica
- Riattivazione delle chiavi Microsoft
- Applicazione di aggiornamento manuale DBX
La documentazione era spesso insufficiente, lasciando molti utenti incerti. Ad esempio, le mie due schede madri B550 Extreme4, apparentemente identiche, presentavano procedure di aggiornamento completamente diverse, causando notevole frustrazione.
Produttori OEM (Dell, HP, Lenovo, ecc.): In generale hanno gestito meglio la situazione, ma si sono comunque trovati ad affrontare:
- Tempistiche di implementazione non uniformi
- Pianificazione incoerente degli aggiornamenti del BIOS/UEFI
- Sistemi che richiedono riavvii multipli per le modifiche DBX
Consultando forum come answers.microsoft.com, TenForums.com e TechPowerUp.com, numerosi utenti hanno segnalato problemi con Secure Boot sia su laptop che su desktop, soprattutto su sistemi assemblati su misura e modelli di fascia alta. Molti utenti hanno affrontato queste difficoltà in silenzio, alla ricerca di soluzioni.
Risoluzione degli errori di aggiornamento di Secure Boot

Quando Secure Boot non funziona, gli utenti potrebbero riscontrare situazioni in cui gli aggiornamenti di Windows indicano un esito positivo senza in realtà modificare il DBX (elenco di revoca).I sistemi potrebbero sembrare avere Secure Boot abilitato pur non riuscendo a imporne le restrizioni o avviandosi senza i controlli di conformità. Ciò può causare discrepanze nel bootloader e altri problemi, aggravati da un hardware instabile.
Chiavi non corrispondenti (PK/KEK/DB/DBX) : se la PK o la KEK non sono aggiornate, il firmware potrebbe non essere in grado di accettare gli aggiornamenti del database. Le soluzioni consigliate includono:
- Ripristina le impostazioni di fabbrica o i tasti predefiniti (operazione solitamente accessibile tramite UEFI quando Secure Boot è in modalità personalizzata).
- Registra nuovamente le chiavi Microsoft (l’installazione di un aggiornamento Microsoft potrebbe rendere necessaria questa operazione).
Firmware che ignora gli aggiornamenti DB o DBX : alcuni PC potrebbero richiedere azioni specifiche per abilitare gli aggiornamenti, come la disabilitazione temporanea di Secure Boot o del Compatibility Support Module (CSM).Potrebbe essere necessario sperimentare diverse impostazioni per individuare la soluzione.
Bootloader obsoleti : l’utilizzo di supporti di installazione di Windows meno recenti potrebbe comportare l’utilizzo di bootloader non più conformi agli standard Secure Boot. Questo problema si aggraverà con la progressiva revoca da parte di Microsoft dei componenti CA-2011. Le soluzioni consigliate includono:
- Esegui Windows Update per sostituire i bootloader obsoleti con le versioni più recenti.
- Ricostruisci i file di avvio utilizzando l’
bcdbootutilità - Verifica che la partizione EFI sia funzionante e, se necessario, riparala.
Bug o anomalie del firmware : si consiglia di aggiornare o flashare l’UEFI prima di utilizzare Secure Boot, soprattutto per i dispositivi più vecchi. Se sono disponibili aggiornamenti del firmware, si consiglia di seguire questi suggerimenti:
- Utilizzare la versione firmware stabile più recente
- Applicare gli aggiornamenti o i moduli forniti dal fornitore per le modifiche al database di Secure Boot.
- Consenti a Windows Update di funzionare una volta che il firmware è aggiornato
Seguendo un approccio sistematico e dando importanza agli aggiornamenti del firmware e di Windows, gli utenti possono ridurre il rischio di incorrere in problemi con Secure Boot.
Utilizzo degli strumenti della community per la risoluzione dei problemi di avvio protetto
Il lancio di CA-2023 ha favorito la nascita di soluzioni sviluppate dalla community, migliorando l’esperienza utente. In particolare, il membro della community Garlin ha creato utili script PowerShell che aiutano significativamente gli utenti, facendo grandi passi avanti nella comprensione del funzionamento del firmware.
Le sue sceneggiature offrono diverse funzioni, tra cui:
- Enumerazione delle chiavi di avvio protetto
- Validazione delle voci DB/DBX
- Rilevamento di bootloader non corrispondenti
- Verifica dello stato di applicazione
- Generazione di report di sistema dettagliati

L’output degli script di Garlin mette in luce la presenza di chiavi di scambio chiave (KEK) sia CA 2011 che CA 2023, insieme a voci UEFI CA 2011 e diverse voci CA 2023. Nonostante l’assenza di certificati DBX, ciò illustra efficacemente la situazione.
Importanza di questi script : la maggior parte dei produttori offre una visibilità limitata sullo stato completo di avvio protetto (Secure Boot) di un PC e l’incoerenza delle interfacce del firmware rende la diagnostica complessa. Gli script di Garlin si rivelano fondamentali per demistificare il processo di avvio protetto, fornendo informazioni più approfondite sugli aggiornamenti e le correzioni necessarie.
Procedura da seguire quando Secure Boot non installa gli aggiornamenti.
Ecco un flusso di lavoro strutturato per ripristinare la funzionalità di avvio protetto (Secure Boot):
- Verifica dello stato attuale : utilizza PowerShell o gli script di Garlin per effettuare le verifiche.
- PK
- KEK
- DB
- DBX
- Stato di applicazione
- Versioni del bootloader
bcdboot C:\Windows /f UEFIper ricreare i file di avvio secondo necessità.
Raccomandazioni per un rinnovamento dell’avvio sicuro
Sebbene l’implementazione di CA 2023 e gli sforzi in corso per modernizzare la conformità a Secure Boot abbiano portato a sviluppi promettenti, hanno anche evidenziato gravi difetti e incongruenze all’interno del sistema. I produttori di apparecchiature originali (OEM) devono migliorare la standardizzazione e la coerenza nelle implementazioni del firmware, unitamente a una migliore documentazione e a guide per la risoluzione dei problemi.
Attualmente, i processi di aggiornamento sono fragili e rischiano di causare complicazioni che compromettono il normale funzionamento. Ho riscontrato problemi frustranti con la mia scheda madre ASRock, in netto contrasto con il funzionamento impeccabile dei miei dispositivi Lenovo. Questa netta differenza sottolinea come l’integrità di Secure Boot dipenda dal suo componente più debole, il che porta a procedure di aggiornamento inutilmente complicate.
Responsabilità di Microsoft, degli OEM e degli utenti
Tutte le parti coinvolte devono collaborare per migliorare lo stato attuale di Secure Boot. Microsoft dovrebbe imporre linee guida più rigorose per la certificazione e migliorare gli strumenti di diagnostica. I produttori di apparecchiature originali (OEM) dovrebbero standardizzare in modo più esteso il comportamento del firmware e testare a fondo gli aggiornamenti del database. Per quanto riguarda gli utenti, è fondamentale mantenere un’attenta gestione delle misure di sicurezza attraverso aggiornamenti regolari del firmware e una gestione attiva dello stato di Secure Boot.
Per mantenere la promessa di Secure Boot come misura di protezione contro le compromissioni non autorizzate del sistema, tutte le parti interessate devono agire con decisione e responsabilità. Assumersi questo impegno garantisce un ambiente informatico affidabile e sicuro.
La continua rilevanza dell’avvio sicuro
Secure Boot rimane una componente fondamentale del framework di sicurezza di Windows, tuttavia l’esperienza del CA 2023 sottolinea la necessità di miglioramenti sistemici. Fortunatamente, il settore si sta adattando: i fornitori di firmware si stanno evolvendo, Microsoft sta implementando protocolli più rigorosi e stanno emergendo risorse della community per colmare le lacune. Tuttavia, la fiducia richiede diligenza e continue conferme, e Secure Boot non fa eccezione.
Quando si affrontano problemi con Secure Boot, è importante monitorare attentamente il tempo impiegato per risolverli. Una soluzione che richiede mezza giornata è accettabile; oltre questo lasso di tempo, potrebbe essere opportuno valutare alternative o considerare la sostituzione dell’hardware. Sebbene Windows possa funzionare anche senza Secure Boot, le soluzioni a lungo termine potrebbero prevedere l’aggiornamento dell’hardware o una revisione delle configurazioni di sistema. La scelta finale spetta a voi!
Lascia un commento