Aggiornare i certificati Secure Boot entro Giugno 2026

Simone Termine

The Microsoft certificates used in Secure Boot are the basis of trust for operating system security, and all will be expiring beginning June 2026.

UPDATE 10TH DECEMBER: Microsoft hosted a live AMA that gave us a lot of informations and tips about this topic! Here is the link!

Introduzione

Dopo 15 anni dal lancio di Secure Boot, i certificati di sicurezza integrati nei sistemi Windows stanno per scadere e devono essere aggiornati per mantenere integro il processo di avvio sicuro. In questo articolo spieghiamo brevemente cos’è Secure Boot e perché è necessario questo aggiornamento, quali certificati stanno per scadere (giugno 2026) e quali sono le implicazioni per la sicurezza. Infine, vedremo cosa fare come amministratori IT, cosa accade se non si interviene, e come utilizzare Microsoft Intune per distribuire facilmente i nuovi certificati Secure Boot in ambiente enterprise.

Cos’è e come funziona Secure Boot

Secure Boot è una funzionalità di sicurezza introdotta con UEFI per garantire che, durante la fase di boot, vengano eseguiti solo firmware e software autorizzati e firmati da una fonte fidata. In pratica, la scheda madre e il sistema operativo collaborano usando una gerarchia di chiavi crittografiche (certificate authority, CA) per verificare ogni componente avviato.

Alla radice c’è la Platform Key (PK), in genere fornita dal produttore OEM, che funge da root of trust e autorizza gli aggiornamenti alla Key Exchange Key (KEK). La KEK a sua volta permette di aggiornare due database di firme: il DB delle firme consentite (software autorizzato) e il DBX delle firme revocate (software malevolo o non autorizzato).

Grazie a questa struttura a livelli, Secure Boot impedisce l’esecuzione di bootloader o driver UEFI non autorizzati, proteggendo il sistema da malware che potrebbero annidarsi nelle prime fasi dell’avvio.

Perché Secure Boot ha bisogno di questo aggiornamento

Le autorità di certificazione (CA) usate da Windows per convalidare Secure Boot hanno una durata prestabilita e, dopo circa 15 anni dal loro rilascio iniziale, inizieranno a scadere a partire da giugno 2026. In particolare, i certificati radice distribuiti dal 2011 (quando Secure Boot fu implementato con Windows 8) stanno raggiungendo la fine del loro ciclo di vita. Senza certificati aggiornati, un dispositivo non potrà più riconoscere come affidabili nuovi componenti di avvio firmati dopo la scadenza, né ricevere aggiornamenti di sicurezza critici relativi al boot.

Microsoft ha annunciato che questo sarà il primo aggiornamento su larga scala globale dei certificati Secure Boot, necessario per mantenere intatta la catena di trust all’avvio dei sistemi Windows. In sintesi, Secure Boot richiede l’introduzione di nuove CA affinché i pc possano continuare ad avviarsi in sicurezza e ad applicare patch di sicurezza dopo la metà del 2026.

Da notare che sono interessati praticamente tutti i dispositivi Windows moderni: pc fisici e macchine virtuali con Secure Boot, su Windows 10, Windows 11 e anche Windows Server (2012 e versioni successive). L’eccezione sono alcuni nuovissimi pc 2025 (definiti “Copilot+ PCs”) che probabilmente integrano già i certificati aggiornati. Per tutti gli altri sistemi distribuiti dal 2012 in poi, l’aggiornamento sarà necessario.

I certificati in scadenza (Giugno 2026)

Vediamo quali sono, in concreto, i certificati Secure Boot che stanno per scadere e con quali nuovi certificati verranno sostituiti:

In breve, tutti i sistemi con Secure Boot dovranno avere nel proprio firmware UEFI le nuove chiavi datate 2023 al posto di quelle datate 2011. L’aggiornamento riguarderà la KEK e le CA UEFI usate da Secure Boot, e contestualmente verrà distribuita una nuova versione del boot manager di Windows firmata con il certificato Windows UEFI CA 2023. Questo assicurerà la continuità del Secure Boot oltre il 2026.

Impatti e implicazioni

Quali sono le implicazioni di questa scadenza dei certificati? In sostanza, se i certificati Secure Boot non vengono aggiornati in tempo, il processo di avvio sicuro perderà efficacia e aggiornabilità. Quando le CA attuali scadranno, i sistemi interessati non potranno più ricevere correzioni di sicurezza relative al Boot Manager di Windows o ai componenti Secure Boot stessi.

Un Secure Boot “non aggiornato” significherà rimanere bloccati con le vecchie chiavi del 2011, impedendo ai nuovi componenti firmati (con chiavi 2023) di essere riconosciuti come validi.

Le conseguenze specifiche includono:

1. Mancati aggiornamenti di sicurezza post-2026: i pc non saranno in grado di installare patch di sicurezza per Secure Boot dopo giugno 2026, né aggiornamenti per il bootloader Windows dopo ottobre 2026. In pratica, qualunque vulnerabilità futura nel processo di boot non potrà essere risolta tramite aggiornamento, perché il sistema non si fiderà delle nuove firme utilizzate per le patch.
2. Software di terze parti non più attendibile: a partire da giugno 2026, qualunque driver UEFI, componente di avvio di terze parti o sistema operativo alternativo (ad esempio una distribuzione Linux in dual-boot, o persino macOS su Mac con dual boot) firmato con i nuovi certificati 2023 non sarà considerato attendibile dai firmware che hanno ancora solo le vecchie CA. Ciò potrebbe impedire l’avvio o il funzionamento di componenti legittimi solo perché firmati con certificati “post-2026” sconosciuti al sistema non aggiornato.
3. Esposizione a malware di boot (bootkit): uno Startup attaccabile equivale a un sistema vulnerabile. Senza l’aggiornamento delle chiavi, i pc resterebbero potenzialmente esposti a malware sofisticati come bootkit e rootkit che si insinuano prima dell’avvio del sistema operativo. Un esempio concreto è il malware BlackLotus UEFI bootkit (CVE-2023-24932), capace di sfruttare falle nel percorso di avvio. Se Secure Boot non è aggiornato, i meccanismi per mitigare minacce di questo tipo potrebbero non funzionare. Al contrario, aggiornare subito le chiavi e il boot manager con le versioni 2023 aiuta ad applicare fin da oggi alcune contromisure importanti contro bootkit noti.

L’aggiornamento dei certificati Secure Boot non è solo un adempimento tecnico, ma un passaggio fondamentale per mantenere il profilo di sicurezza dei dispositivi Windows. Ignorare questa scadenza significa, nel medio termine, ritrovarsi con macchine incapaci di applicare aggiornamenti critici al firmware di avvio, e nel lungo termine, aprire la porta a attacchi che possono eludere i comuni antivirus (poiché agiscono prima dell’avvio del sistema operativo).

Cosa dovresti fare

Come amministratore IT, è importante preparare per tempo la tua azienda a questo cambiamento, così da evitare disservizi o falle di sicurezza. Ecco le azioni consigliate:

1. Aggiorna il firmware UEFI dei dispositivi: Prima di tutto, verifica con i fornitori hardware (OEM) la disponibilità di aggiornamenti firmware per i vostri modelli di pc. Microsoft sottolinea che è essenziale applicare eventuali aggiornamenti BIOS/UEFI forniti dall’OEM prima di introdurre i nuovi certificati. Questo perché il supporto nel firmware è la base su cui Windows andrà a inserire le nuove chiavi Secure Boot; firmware datati potrebbero avere bug o limitazioni nell’aggiornamento delle variabili UEFI. Dunque, pianifica un ciclo di aggiornamento BIOS per tutti i modelli supportati in azienda.

2. Verifica lo stato di Secure Boot sui device: Assicurati che Secure Boot sia effettivamente attivato sui dispositivi target. Windows può aggiornare le chiavi Secure Boot solo se la funzionalità è attiva nel firmware. Se in alcuni pc Secure Boot risulta disabilitato (ad esempio per esigenze pregresse di compatibilità), valuta di abilitarlo – tenendo presente che disabilitare o riabilitare Secure Boot su un sistema già aggiornato può talvolta ripristinare i certificati di default e vanificare l’aggiornamento. In ogni caso, i dispositivi con Secure Boot spento o non supportato potrebbero non ricevere le nuove CA finché Secure Boot rimane off.

3. Decidi la modalità di aggiornamento delle chiavi: Microsoft offre essenzialmente due strade:

• Aggiornamento automatico gestito da Microsoft (se si consente a Windows Update di gestire anche queste componenti), oppure
• Aggiornamento gestito dall’IT (tramite criteri di gruppo, Intune, script, ecc.).

La soluzione più semplice e con minore sforzo è lasciare che sia Microsoft a gestire il rollout dei certificati tramite i normali aggiornamenti Windows. Affinché ciò sia possibile, è necessario che i dispositivi inviino dati diagnostici a Microsoft (almeno a livello “Obbligatorio/Required”) e ricevano gli update di Windows direttamente (o via servizi come Windows Autopatch o WSUS opportunamente configurato).

In questo scenario, se i pc aziendali mandano i dati di diagnostica richiesti e ricevono gli update, non è richiesto alcun intervento manuale: i nuovi certificati verranno recapitati tramite gli aggiornamenti cumulativi nei mesi precedenti la scadenza. Microsoft utilizzerà i feedback diagnostici per raggruppare i dispositivi in “bucket” di rollout a alta affidabilità e rilascerà gradualmente gli aggiornamenti Secure Boot monitorandone l’esito. È comunque importante assicurarsi che eventuali firewall o policy di rete non stiano bloccando l’invio dei dati di telemetria necessari.

Come utilizzare Intune per prepararsi

Fortunatamente, per gli amministratori che utilizzano Microsoft Intune c’è una soluzione molto comoda per gestire e distribuire gli aggiornamenti Secure Boot su tutti i client.
Sono state introdotte impostazioni specifiche nei Setting Catalog di Intune per questo scopo. Invece di dover agire manualmente sulle chiavi di registro o tramite script (vedi articolo per remediation script), si può creare un semplice profilo di configurazione Intune che applicherà ai device i settaggi appropriati.

Di seguito i passi da seguire:

1. Accedere al portale Intune e navigare in Devices > Configuration . Cliccare su Create > New Policy e scegliere come Piattaforma Windows 10 and later. Come Tipo di profilo selezionare Settings Catalog e procedete.

2. Assegnare un nome al profilo (ad es. “Secure Boot”) e procedere.

3. Nella sezione Configuration settings, cliccare Add settings. Nel campo di ricerca digitare “Secure Boot” e selezionare la categoria Secure Boot. Dovrebbero comparire tre impostazioni disponibili. Queste tre opzioni corrispondono direttamente alle chiavi di registro citate in precedenza (AvailableUpdates, HighConfidenceOptOut, MicrosoftUpdateManagedOptIn), ma esposte in forma di policy gestibile da Intune:

4. Una volta configurate le tre impostazioni secondo le esigenze, assegnare il profilo ai gruppi di dispositivi Windows desiderati (ad esempio tutti i client Windows 10/11). Entro breve tempo, Intune applicherà i criteri ai computer. Potete monitorare lo stato di applicazione del profilo e verificare che i valori di registro siano stati impostati correttamente su alcuni dispositivi pilota ad esempio controllando che AvailableUpdates sia presente/impostato e che MicrosoftUpdateManagedOptIn abbia valore 1 al percorso:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Proprietà del Setting Catalog per le impostazioni Secure Boot

• Enable SecureBoot Certificate Updates – Questa impostazione, se abilitata, fa sì che Windows inizi automaticamente il processo di distribuzione dei nuovi certificati Secure Boot sul dispositivo. In pratica abilita il trigger di aggiornamento: equivale internamente a impostare la chiave AvailableUpdates con il valore adatto per installare tutti gli aggiornamenti necessari (bitfield 0x5944 che include aggiunta nuove CA 2023, aggiornamento KEK e installazione nuovo boot manager). Di default, aggiungendo la categoria, questa impostazione risulta già presente e attiva (Enabled). Lasciandola su Enabled, Windows pianificherà l’applicazione delle nuove chiavi.

Nota: il task interno che applica queste modifiche viene eseguito circa ogni 12 ore; alcune fasi potrebbero richiedere un riavvio per completare l’aggiornamento in sicurezza. Una volta che i certificati sono stati scritti nel firmware, non è possibile rimuoverli tramite software (bisognerebbe eventualmente intervenire dal BIOS per resettare le chiavi), quindi eseguite questa operazione consapevoli che è essenzialmente irreversibile lato OS.

• Configure Microsoft Update Managed Opt-In – Questa policy consente di optare per l’intervento automatico di Microsoft nel distribuire gli aggiornamenti Secure Boot. Se la si imposta su Enabled (Abilitato), si segnala che i dispositivi parteciperanno al Controlled Feature Rollout gestito da Microsoft. In pratica è l’equivalente della chiave di registro MicrosoftUpdateManagedOptIn vista sopra. Per funzionare richiede che il device invii i dati diagnostici obbligatori a Microsoft (telemetria). Tenete presente che per impostazione predefinita questa opzione è Disabled, ovvero se non la toccate i device non daranno automaticamente consenso al rollout assistito. Il nostro consiglio è di abilitarla, a meno che non preferiate gestire totalmente in autonomia la distribuzione delle chiavi. Abilitandola, Microsoft potrà includere quei device nel rilascio graduale tramite gli aggiornamenti mensili di Windows (come descritto nella sezione precedente). Se invece avete motivi per non voler l’aggiornamento automatico, potete lasciarla disabilitata: in tal caso dovrete assicurarvi di effettuare l’aggiornamento delle chiavi tramite l’altra impostazione (o via script) in modo controllato.
  
  
• Configure High Confidence Opt-Out – Questa impostazione serve per escludere esplicitamente i dispositivi dal meccanismo automatico di aggiornamento attraverso gli update mensili, anche se Microsoft li ha classificati come “high confidence” (ovvero noti per supportare bene l’update firmware). In altre parole, impostandola su Enabled si blocca l’applicazione automatica dei certificati tramite Windows Update, richiedendo l’intervento manuale dell’IT. Di default è Disabled, il che significa che i device considerati affidabili da Microsoft procederanno con l’aggiornamento automatico quando incluso nelle patch mensili. Potreste valutare di abilitarla solo per quei gruppi di pc su cui volete rimandare l’update automatico (ad esempio hardware critico non ancora testato con le nuove chiavi), così da controllare manualmente tempi e modi dell’aggiornamento. Se invece il vostro obiettivo è lasciare che Microsoft gestisca il rollout, questa opzione va tenuta disabilitata (default) in modo da non effettuare alcun opt-out.

Utilizzando Intune in questo modo, potete in definitiva orchestrare centralmente l’aggiornamento di Secure Boot su tutti i dispositivi gestiti, senza dover intervenire singolarmente. Questo vi permette di rispettare le scadenze di giugno/ottobre 2026 in modo ordinato e conforme alle policy aziendali. Intune traduce automaticamente le vostre impostazioni in modifica delle chiavi di registro appropriate e vi solleva dal dover distribuire script o interventi manuali. Inoltre, potrete documentare la compliance: il successo dell’operazione può essere verificato tramite i log di Intune o controllando gli eventi di Secure Boot nei registri di Windows (sono previsti event ID specifici o codici di errore nelle chiavi di registro UEFICA2023Status/Error in caso di problemi).

Conclusioni

L’aggiornamento dei certificati Secure Boot è un intervento straordinario che avviene raramente (questa è la prima volta dalla loro introduzione) e richiede attenzione da parte degli amministratori. Agire per tempo con gli strumenti giusti, come Intune, vi permetterà di evitare interruzioni nel flusso di aggiornamenti di sicurezza e di mantenere elevato il livello di protezione dei vostri endpoint Windows.

Sfruttate la guida ufficiale Microsoft e le risorse messe a disposizione (FAQ e documentazione tecnica) per approfondire i dettagli, e pianificate con cura il rollout delle nuove chiavi. Preparandovi ora, arriverete a giugno 2026 con la serenità di sapere che i vostri dispositivi continueranno ad avviarsi in modo sicuro e conforme, pronti ad affrontare le sfide di sicurezza future senza compromettere l’integrità del boot.