Verifica dell’implementazione dei certificati Secure Boot 2023 in Windows 11 (sostituisce Secure Boot 2011)

Se hai consultato di recente il Visualizzatore eventi, potresti aver riscontrato nuovi errori TPM-WMI associati ai certificati di avvio protetto. Non preoccuparti, non sei il solo ad aver riscontrato questa situazione. Molti utenti di Windows 11 hanno segnalato problemi simili, in particolare dopo l’installazione dell’aggiornamento Patch Tuesday di febbraio 2026.

Visualizzatore eventi di Windows che mostra errori ID evento 1801 — Visualizzatore eventi di Windows mostra errori ID evento 1801. Fonte: Reddit

Fortunatamente, questi eventi non sono indicativi di un bug.Microsoft sta attualmente aggiornando i certificati Secure Boot in uso dal 2011. Con l’avvicinarsi della fine del loro ciclo di vita di queste vecchie chiavi, Windows sta passando a un’autorità di certificazione più aggiornata, nota come Windows UEFI CA 2023.

Secure Boot svolge un ruolo fondamentale nella protezione del PC durante l’avvio, consentendo l’esecuzione solo di firmware, bootloader e componenti di sistema attendibili prima del caricamento del sistema operativo. Se questi certificati dovessero scadere o perdere il loro stato di attendibilità, l’efficacia di Secure Boot verrebbe compromessa.

L’aggiornamento del certificato faceva parte dell’aggiornamento di Windows 11 di febbraio 2026 (KB5077181) e, come di consueto, viene implementato in fasi che dipendono dai dispositivi specifici. Questo approccio graduale utilizza la telemetria e i controlli di affidabilità prima che le nuove chiavi vengano applicate al firmware del PC.

Di conseguenza, molti utenti visualizzano messaggi nel Visualizzatore eventi che indicano notifiche come “certificati aggiornati disponibili” o “in osservazione”, nonostante non siano state apportate modifiche immediate ai loro sistemi.È fondamentale notare che questi avvisi non segnalano un errore. Nella maggior parte dei casi, è probabile che Windows stia preparando il dispositivo e garantendone la compatibilità prima di applicare in modo sicuro le nuove chiavi di avvio protetto.

Informazioni sugli errori TPM-WMI nel Visualizzatore eventi

Un numero significativo di utenti di Windows 11 ha segnalato di aver visto l’ID evento 1801 insieme a messaggi come:

“BucketConfidenceLevel: sotto osservazione – sono necessari più dati”

Visualizzatore eventi di Windows che mostra errori ID evento 1801 in cui BucketConfidenceLevel è elencato come "Sotto osservazione - Sono necessari più dati" — Visualizzatore eventi di Windows che mostra l’ID evento 1801 con lo stato “Sotto osservazione – Sono necessari altri dati”.Fonte: Reddit

Non preoccuparti, il tuo PC funziona in modo sicuro e non presenta alcun malfunzionamento. La registrazione è semplicemente un rapporto sullo stato, non un errore o un indicatore di guasto.

Le chiavi di avvio sicuro risiedono a livello di firmware e sono utilizzate nell’intero ecosistema PC, inclusi i firmware OEM e i fornitori di schede madri. Pertanto, le modifiche devono essere attentamente coordinate per evitare che qualsiasi dispositivo diventi non avviabile a causa di problemi imprevisti.

Il processo di transizione del certificato prevede due passaggi chiave:

Il nuovo certificato Secure Boot diventa accessibile a Windows.
Questo certificato viene successivamente applicato al firmware del sistema.

Per molti sistemi, questo processo può richiedere tempo, poiché si trova tra queste due fasi. Quando il Visualizzatore eventi indica che i certificati Secure Boot aggiornati sono disponibili ma non ancora implementati, significa che il dispositivo è stato identificato, valutato e messo in coda per la fase successiva. Lo stato “In osservazione” indica che Microsoft sta ancora raccogliendo segnali rilevanti dal dispositivo per garantirne un funzionamento affidabile prima di eseguire le modifiche a livello di firmware.

Inoltre, Windows è in grado di scaricare e preparare nuovi certificati all’interno del sistema operativo molto prima che vengano adottati a livello di firmware. Pertanto, finché il firmware non riconosce e registra le nuove chiavi, il Visualizzatore eventi potrebbe continuare a mostrare messaggi di stato che indicano che la transizione è in sospeso.

Questo spiega perché questi log possono essere interpretati come errori, sebbene siano semplicemente log informativi di staging. Non implicano problemi con il TPM, processi di Secure Boot non riusciti o un BIOS danneggiato. Molti sistemi potrebbero rimanere in questa fase di transizione per un periodo prolungato, soprattutto durante un’implementazione graduale di questa natura.

Come confermare l’applicazione del nuovo certificato Secure Boot

Windows offre un metodo semplice per verificare se il certificato UEFI CA 2023 di Windows è già incorporato nel sistema. Questa procedura è completamente sicura e non modifica alcuna impostazione.

Passaggio 1: avviare PowerShell come amministratore

Fare clic con il pulsante destro del mouse sul pulsante Start e selezionare Windows PowerShell (amministratore) o Terminale (amministratore).

Passaggio 2: eseguire il seguente comando esattamente come mostrato

([System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023′)

Output di PowerShell che conferma l'aggiornamento di Windows UEFI CA 2023 — Output di PowerShell che conferma lo stato di aggiornamento del certificato Windows UEFI CA 2023.

Fase 3: Interpretare il risultato

Vero : indica che il certificato Windows UEFI CA 2023 è già presente nel database Secure Boot, a conferma che il sistema è pronto, anche se Visualizzatore eventi presenta ancora messaggi di staging o osservazione.
Falso : questo suggerisce che il dispositivo non ha ancora ricevuto il certificato. Questa situazione non è un errore e non richiede alcuna azione; il PC è semplicemente in attesa del suo turno nel processo di distribuzione.

Come verificare l’aggiornamento nel Visualizzatore eventi

Se il comando PowerShell restituisce True e si desidera visualizzare i registri ufficiali per sicurezza, ecco un modo semplice per trovarli nel registro di sistema senza dover setacciare innumerevoli eventi:

Aprire Visualizzatore eventi (cercarlo nel menu Start).
Vai a Registri di Windows > Sistema.
Sul lato destro, fare clic su Filtra registro corrente….
Nel menu a discesa Origini evento, scorrere verso il basso e selezionare la casella TPM-WMI (potrebbe essere visualizzata come Microsoft-Windows-TPM-WMI).
Fare clic su OK.

Come verificare l'aggiornamento in Visualizzatore eventi — Passaggi per verificare gli aggiornamenti di Secure Boot nel Visualizzatore eventi.

Dopo aver filtrato, cerca l’ID evento 1808. Se compare, conferma che il nuovo certificato Secure Boot è stato applicato correttamente. Potresti anche vedere l’ID evento 1034, che indica che anche l’aggiornamento del DBX (elenco di revoche) è stato completato correttamente.

Finestra del Visualizzatore eventi di Windows che mostra l'ID evento 1808 selezionato. — Conferma delle nuove chiavi Secure Boot tramite ID evento 1808 nel Visualizzatore eventi.

Visualizzatore eventi di Windows che mostra l'ID evento 1034 con il messaggio — ID evento 1034 che indica un aggiornamento DBX Secure Boot riuscito.

È importante notare che questi due controlli a volte possono sembrare incoerenti. Alcuni utenti potrebbero osservare un risultato True in PowerShell mentre Visualizzatore eventi continua a registrare avvisi relativi a certificati non applicati al firmware. Questa discrepanza è normale; l’aggiornamento a livello di sistema operativo potrebbe verificarsi per primo, mentre l’applicazione del firmware potrebbe avvenire in un secondo momento, eventualmente dopo riavvii o aggiornamenti.

Finché PowerShell restituisce True, il sistema è in buone condizioni. A questo punto, i registri del Visualizzatore eventi possono essere ragionevolmente ignorati.

Dovresti aggiornare immediatamente il BIOS?

Non è necessaria alcuna azione immediata per quanto riguarda l’aggiornamento del BIOS.

Un errore comune che circonda questa implementazione è la convinzione che Microsoft stia spingendo direttamente le modifiche al firmware. In realtà, il BIOS e il firmware UEFI sono gestiti dal produttore del dispositivo, indipendentemente da Windows Update. Pertanto, Microsoft non può aggiornare arbitrariamente le chiavi di avvio sicuro a livello di firmware su tutti i dispositivi senza il coordinamento con OEM come Dell, Lenovo, HP, ASUS, Acer e altri.

Uomo seduto alla scrivania che lavora su due laptop Surface con monitor esterno e ripara dispositivi — Fonte: Microsoft

Gli aggiornamenti del firmware sono considerevolmente più delicati degli aggiornamenti del sistema operativo. Mentre un errore di aggiornamento di Windows può spesso essere ripristinato, un errore di aggiornamento del firmware potrebbe rendere il PC non avviabile. Pertanto, i produttori di dispositivi devono convalidare meticolosamente la transizione delle chiavi di avvio sicuro e rilasciare gli aggiornamenti solo quando sono certi che non interferiranno con le configurazioni specifiche della piattaforma.

Dovresti prendere in considerazione un aggiornamento del BIOS solo se:

Il produttore del dispositivo consiglia espressamente di farlo.
La documentazione di aggiornamento riguarda le modifiche ai certificati Secure Boot.
Hai le competenze e la dimestichezza con l’esecuzione degli aggiornamenti del firmware e comprendi i rischi associati.

Tali aggiornamenti sono spesso progettati per ambienti aziendali e possono compromettere la sicurezza se non eseguiti correttamente.

Se pensate che Microsoft sia stata recentemente più attiva dietro le quinte, è perché lo è davvero. Sebbene l’aggiornamento del certificato Secure Boot fosse previsto, dato che il precedente risale a 15 anni fa, Microsoft si impegna a rafforzare la sicurezza di Windows per impostazione predefinita.

Fonte e immagini