Certificati Secure Boot Microsoft in scadenza: il tuo PC è a rischio?

Microsoft ha annunciato che sta sostituendo in automatico i certificati di sicurezza a livello di avvio sui dispositivi Windows, scadranno tra giugno e ottobre 2026. La distribuzione avverrà attraverso i normali aggiornamenti della piattaforma. L’azienda lo definisce un rinnovamento generazionale dello standard di sicurezza.

Microsoft avvia il rinnovo automatico dei certificati Secure Boot su Windows 11

Il Secure Boot è nato nel 2011 con un compito preciso: impedire che software malevoli si infilassero nel processo di avvio del computer, quel momento delicato in cui il sistema è ancora mezzo addormentato e particolarmente vulnerabile. È diventato poi uno dei requisiti obbligatori per installare Windows 11..

Il problema è che quei certificati originali del 2011 hanno una scadenza. Dopo quindici anni di onorato servizio, stanno per andare in pensione. Microsoft ha emesso nuovi certificati già nel 2023, e i dispositivi venduti dal 2024 in poi li hanno già preinstallati. Ma tutto l’hardware precedente? Quello va aggiornato, e in fretta.

Nuno Costa di Microsoft ha spiegato nel blog ufficiale che aggiornare certificati e chiavi crittografiche è una pratica standard del settore, necessaria per evitare che le vecchie credenziali diventino il tallone d’Achille del sistema. Fin qui, tutto ragionevole.

Costa assicura che i PC con certificati scaduti continueranno a funzionare normalmente, e che entreranno in uno stato di sicurezza degradato. In concreto, significa possibili limitazioni ai futuri aggiornamenti di sicurezza a livello di boot e problemi di compatibilità con hardware e software futuri. Non esattamente una passeggiata di salute.

Chi deve preoccuparsi?

I nuovi certificati hanno già iniziato a circolare dal mese scorso con l’aggiornamento KB5074109 di Windows 11. Per la stragrande maggioranza degli utenti, l‘installazione è automatica e invisibile.

Le eccezioni esistono, naturalmente. Alcuni sistemi specializzati, come server, dispositivi IoT, tutta quella fauna tecnologica che vive negli angoli meno visibili dell’ecosistema Windows, potrebbero seguire percorsi di aggiornamento diversi. E per una piccola frazione di dispositivi, Microsoft ammette che servirà un aggiornamento firmware separato da parte dei produttori. Auguri a chi dovrà andare a caccia di quel firmware sul sito del proprio OEM…

Il capitolo più amaro riguarda gli utenti di Windows 10. Per loro, i nuovi certificati arriveranno solo attraverso il programma Extended Security Updates, quini dovranno pagare per restare al sicuro, oppure fare finalmente quel salto a Windows 11 che continuano a rimandare.