Howto

Secure Boot

La sostituzione dei certificati Secure Boot Microsoft 2011 con le nuove CA 2023 non è un semplice aggiornamento di Windows. È un passaggio molto più profondo, che riguarda la catena di fiducia dell’intero processo di avvio del PC: firmware UEFI, database delle chiavi, boot manager, revoche, aggiornamenti OEM, strumenti di gestione enterprise e stato reale dei dispositivi.

Il tema è diventato urgente perché i certificati storici usati da Secure Boot, introdotti nel 2011, arrivano a scadenza nel 2026. Non si tratta di una singola data, ma di una sequenza di scadenze che interessa componenti diversi della catena di avvio.

La Microsoft Corporation KEK CA 2011, usata per firmare gli aggiornamenti ai database Secure Boot, è scaduta il 24 giugno 2026; Microsoft UEFI CA 2011 è in scadenza il 27 giugno 2026; Microsoft Windows Production PCA 2011, utilizzata per firmare il boot loader di Windows, arriva invece alla scadenza del 19 ottobre 2026.