Windows 11 e Secure Boot: cosa succede davvero se si ignora la scadenza di giugno
I vecchi certificati stanno per essere revocati: meglio prepararsi prima di trovarsi nei guai.
[ZEUS News - www.zeusnews.it - 28-05-2026]
Manca poco: a giugno inizieranno a scadere i certificati Secure Boot emessi nel 2011, ancora presenti su milioni di PC Windows, con un processo che si concluderà per ottobre. La scadenza ha delle conseguenze importanti di cui gli utenti farebbero bene a tenere conto: non bloccherà l'avvio dei dispositivi, ma impedirà loro di ricevere nuove protezioni per la fase di boot, incluse le mitigazioni contro vulnerabilità critiche del Boot Manager e gli aggiornamenti delle liste di revoca. Microsoft ha già iniziato a distribuire i certificati aggiornati del 2023 tramite Windows Update, ma alcuni sistemi richiedono un aggiornamento firmware del produttore per applicarli correttamente. I dispositivi che non riceveranno i nuovi certificati continueranno quindi a funzionare, ma diventeranno progressivamente meno protetti contro minacce che agiscono prima del caricamento del sistema operativo.
Molti PC prodotti dal 2024 in poi includono già i certificati aggiornati del 2023 e non richiedono interventi. Per tutti gli altri, Microsoft sta distribuendo gli aggiornamenti tramite Windows Update, mentre i produttori OEM stanno rilasciando firmware correttivi per garantire la compatibilità. L'aggiornamento è considerato uno dei più ampi interventi di manutenzione coordinata mai effettuati sull'ecosistema Windows, e coinvolge milioni di configurazioni hardware diverse. Se un dispositivo non riceve i nuovi certificati, alcuni scenari di sicurezza potrebbero degradare nel tempo. BitLocker potrebbe mostrare richieste di recupero più frequenti, soprattutto in presenza di firmware obsoleti. Alcuni componenti di terze parti che si affidano alla catena di fiducia Secure Boot potrebbero non riuscire a installare aggiornamenti futuri. In casi più rari, sistemi con firmware particolarmente datati potrebbero arrivare a mostrare errori di validazione Secure Boot o blocchi in fase di avvio.
Microsoft ha pubblicato una serie di indicatori per identificare i dispositivi non aggiornati. Tra questi, eventi specifici nel registro di sistema (ID 1801 e 1795) e la chiave UEFICA2023Status, che deve risultare impostata su "Updated". Gli amministratori possono utilizzare strumenti di inventario, Intune, criteri di gruppo o CSP per verificare lo stato dei certificati e distribuire gli aggiornamenti. L'azienda raccomanda di applicare prima eventuali aggiornamenti firmware OEM, per ridurre il rischio di errori durante l'aggiornamento delle chiavi. È importante ricordare che la scadenza dei certificati non deve essere aggirata disattivando Secure Boot. Microsoft avverte che disabilitare la funzione riduce drasticamente la protezione del dispositivo, esponendolo a bootkit e malware che operano prima del caricamento del sistema operativo. La disattivazione può inoltre creare problemi di conformità in ambienti aziendali e impedire l'installazione di futuri aggiornamenti di sicurezza legati al firmware.
Il processo di aggiornamento dei certificati è stato pianificato per anni e rappresenta un passaggio necessario per mantenere la sicurezza crittografica del sistema. Le chiavi del 2011 hanno raggiunto la fine del loro ciclo di vita e non sono più considerate adeguate contro le minacce moderne. L'introduzione dei certificati 2023 consente di mantenere un livello di protezione allineato agli standard attuali e di supportare nuove funzionalità di sicurezza del boot. Per i dispositivi gestiti da organizzazioni, Microsoft suggerisce un approccio graduale: inventario iniziale, verifica dello stato Secure Boot, aggiornamento firmware, test su gruppi pilota e distribuzione controllata. Le aziende devono monitorare eventuali anomalie, come prompt BitLocker imprevisti o errori di avvio, e intervenire con procedure di ripristino documentate.
Gli utenti domestici, invece, non devono compiere azioni particolari: la maggior parte dei PC riceverà automaticamente i certificati aggiornati tramite Windows Update. Solo i dispositivi più vecchi o fuori supporto potrebbero richiedere un intervento manuale tramite aggiornamento firmware del produttore. In questi casi, Microsoft consiglia di consultare il sito OEM per verificare la disponibilità di aggiornamenti specifici.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
Commenti all'articolo (0)
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] Il Bersaglio - Motori di ricerca:
I motori di ricerca & la privacy - Tablet e smartphone:
Utilizzo smartphone - Internet - generale:
Come interagite con la IA? - Aiuto per i forum / La Posta di Zeus / Regolamento:
Avvisi risposte e notifiche MP non mi arrivano - Altra ferraglia stand-alone:
Android TV e smart TV - Sicurezza:
Abbonamento ad antivirus con prova gratuita - Programmazione:
Evoluzione di carriera: da Sviluppatore IBM i a
PM/Tech Lead - Windows 11, 10:
Comparsa di un Disco Locale sconosciuto - Linux:
Infloww su linux, si può?
