Windows Secure Boot: a giugno scadono i certificati, cosano rischiano i PC

A giugno 2026 scadranno ufficialmente i certificati Secure Boot che Microsoft ha rilasciato originariamente nel 2011 per i dispositivi Windows. La casa di Redmond ha già avviato la distribuzione delle nuove chiavi di sicurezza, denominate UEFI CA 2023, sfruttando il canale standard di Windows Update per raggiungere tutti i dispositivi idonei. A parlarne sono stati alcuni dirigenti Microosft nel settore sicurezza all'interno di una sessione Ask Microsoft Anything su YouTube.

C'è da dire, però, che i computer basati su Windows 11 prodotti a partire dal 2024 sono già allineati, poiché escono dalle fabbriche con i nuovi certificati integrati o hanno già assimilato la patch nel corso dei mesi passati. Per le macchine più datate, invece, la compatibilità può essere controllata direttamente dall'utente all'interno dell'app Sicurezza di Windows. Il pacchetto di aggiornamento verrà installato in automatico sui sistemi supportati, anche se Microsoft ha precisato che alcune configurazioni hardware specifiche potrebbero richiedere un passaggio integrativo, ovvero l'installazione di un aggiornamento firmware ad hoc rilasciato dal rispettivo produttore OEM.

Cosa succede ai computer Windows che non si aggiornano

La funzione di Secure Boot è cruciale per la difesa dell'ecosistema Windows, poiché scherma il PC impedendo il caricamento di codice malevolo prima del caricamento del sistema operativo stesso. Attraverso una vera e propria catena di custodia, la funzionalità analizza e convalida le firme digitali di ogni singolo elemento software coinvolto nella fase di boot, inclusi i driver del firmware UEFI, le applicazioni EFI e il kernel del sistema operativo, garantendo l'avvio esclusivo dei servizi ritenuti affidabili dal produttore.

Il mancato passaggio alle nuove chiavi crittografiche non provocherà un blocco improvviso del sistema operativo. Gli ingegneri della sicurezza di Microsoft hanno confermato che i PC non aggiornati continueranno a funzionare regolarmente e a ricevere i tradizionali update di sicurezza mensili. Il vero punto debole riguarderà l'impossibilità di supportare le più recenti e avanzate protezioni dedicate alla prima fase di avvio. Questa lacuna esporrà i PC a rischi concreti legati a minacce di livello firmware, come bootkit, rootkit del firmware e virus del settore di avvio, capaci di annidarsi in zone profonde dell'hardware dove i normali antivirus non possono operare.

I vecchi computer che sfruttano ancora il firmware BIOS legacy non subiranno alcuna conseguenza e salteranno completamente la procedura di update, data la totale incompatibilità fisica con la tecnologia Secure Boot. Discorso differente per le macchine che utilizzano il Compatibility Support Module (CSM) per emulare il vecchio BIOS pur girando su una scheda madre con moderno firmware UEFI: in questo caso specifico, i sistemi rimangono compatibili con le specifiche di protezione e riceveranno la nuova chiave di volta in modo del tutto analogo ai PC più moderni.