Da quindici anni, quasi in silenzio, una componente fondamentale della sicurezza dei PC Windows ha svolto il suo lavoro senza chiedere nulla in cambio. Si chiama Secure Boot ed è quella tecnologia che, prima ancora che il sistema operativo si avvii, verifica l’integrità del processo di avvio per impedire che software malevolo come i cosiddetti bootkit possa compromettere il PC a un livello così profondo da risultare praticamente invisibile agli strumenti di sicurezza tradizionali.
Il punto è che Secure Boot si appoggia su certificati digitali emessi originariamente nel 2011, che ora stanno per scadere. La prima scadenza è fissata al 27 giugno 2026, con il certificato di produzione Windows che seguirà nell’ottobre dello stesso anno.
Non si tratta di un’emergenza nel senso classico del termine: il PC non si spegnerà da un momento all’altro, né apparirà una schermata di errore irreversibile. Ciò che accadrà è più sottile e, per certi versi, più preoccupante. I sistemi privi dei nuovi certificati entreranno in uno stato di sicurezza degradata, perdendo la copertura aggiornata contro le minacce più recenti che puntano alla fase di avvio.
Microsoft sta spingendo i nuovi certificati UEFI CA 2023 tramite Windows Update per la maggior parte dei PC con Windows 11, ma non tutti riceveranno l’aggiornamento automaticamente. Per molti, capire se il proprio sistema è al sicuro richiede qualche minuto di attenzione in più.
Chi rischia e perché il problema è più ampio del previsto
Il quadro si complica non appena si guarda oltre i PC con Windows 11 aggiornato. La prima grande categoria a rischio è quella di chi usa Windows 10 senza aver aderito al programma Extended Security Update (ESU). Microsoft è stata esplicita sul punto, confermando che i dispositivi che eseguono versioni non supportate non riceveranno i nuovi certificati.
Considerando che alcune stime parlano di circa 400 milioni di PC rimasti indietro dopo l’end-of-life del 2025, la portata del fenomeno non è trascurabile. C’è però ancora una finestra aperta. È possibile iscriversi al programma ESU fino al 13 ottobre 2026, il che consente di ricevere gli aggiornamenti di sicurezza, certificati Secure Boot inclusi, anche su macchine che non possono essere aggiornate a Windows 11.
La seconda categoria problematica riguarda l’hardware più datato con Windows 11, dove il percorso di aggiornamento dipende non solo da Microsoft ma anche dai produttori di schede madri e dai brand OEM. Aziende come Dell, HP, Lenovo e ASUS stanno lavorando con Microsoft per distribuire aggiornamenti firmware ai modelli più vecchi, ma il supporto non è garantito per tutti.
In generale il supporto firmware tende a esaurirsi dopo circa cinque anni dalla vendita; ciò significa che un PC del 2018 o precedente potrebbe non ricevere mai l’aggiornamento necessario. Un ulteriore elemento di rischio, spesso sottovalutato, riguarda chi ha modificato manualmente le impostazioni di Secure Boot nel BIOS: questa operazione può, in alcuni casi, ripristinare i certificati alle versioni originali in scadenza.
Come verificare lo stato del tuo PC in meno di un minuto
Prima di preoccuparti o prendere qualsiasi decisione, vale la pena fare una verifica rapida. Apri PowerShell come amministratore, cercando “PowerShell” nel menu Start e selezionando “Esegui come amministratore“, poi incolla il seguente comando:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')Il risultato sarà uno solo, True o False. Se ottieni True, il sistema ha già i certificati aggiornati e non devi fare nulla. Se invece ottieni False, il primo passo è aprire Windows Update e verificare se ci sono aggiornamenti in sospeso. Per molti PC con Windows 11, i nuovi certificati vengono distribuiti esattamente in questo modo.
Se gli aggiornamenti non risolvono il problema, situazione più comune su hardware datato, puoi provare un metodo alternativo documentato da Microsoft, che permette di scrivere i certificati aggiornati nel firmware senza toccare il BIOS. Da un Prompt dei comandi con privilegi di amministratore, esegui:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\SecureBoot-Update"Dopo due riavvii, puoi rieseguire il controllo PowerShell per verificare se i certificati risultano ora aggiornati. Questo approccio funziona su PC in grado di avviarsi e installare aggiornamenti di Windows 11, ma non sostituisce un aggiornamento firmware OEM laddove necessario.
Nota: se il dispositivo usa BitLocker, una modifica al database Secure Boot cambia i valori dei registri TPM PCR, il che può innescare un loop di richiesta della chiave di ripristino BitLocker a ogni avvio. Se non hai la chiave di ripristino a portata di mano, potresti non riuscire ad accedere al sistema. Prima di eseguire il comando, verifica se BitLocker è attivo con manage-bde -status C: e se lo è, sospendilo.
Linux non è immune: cosa cambia per chi usa distribuzioni open source
Chi pensa che questo problema riguardi solo il mondo Windows si sbaglia. Linux è coinvolto, anche se con dinamiche diverse e, per certi versi, meno critiche. Il punto di contatto è il cosiddetto shim, un piccolo bootloader di primo stadio che le principali distribuzioni Linux usano per avviarsi su sistemi con Secure Boot attivo. Questo componente deve essere firmato da Microsoft per essere considerato attendibile dal firmware UEFI, e fino ad oggi quella firma era basata proprio sul certificato UEFI CA 2011 in scadenza.
La buona notizia è che le distribuzioni più diffuse, tra cui Ubuntu, Fedora, openSUSE e Red Hat Enterprise Linux, hanno già avviato il processo di aggiornamento dei propri shim con la firma basata sul nuovo certificato UEFI CA 2023. Red Hat, in particolare, ha confermato che i sistemi RHEL esistenti che oggi si avviano correttamente continueranno a farlo anche dopo il 27 giugno 2026, perché la scadenza non compromette la capacità di avviare componenti già firmati e attendibili, ma riguarda la possibilità di firmare nuovi componenti in futuro.
Il rischio reale emerge su due fronti specifici. Il primo riguarda le installazioni Linux più datate che non ricevono aggiornamenti regolari: se lo shim installato è firmato esclusivamente con il certificato 2011 e non viene aggiornato prima della scadenza, futuri aggiornamenti del bootloader potrebbero risultare non attendibili. Un altro punto riguarda i supporti di avvio esterni (come chiavette USB per il ripristino del sistema o distribuzioni live), che potrebbero smettere di funzionare su sistemi con Secure Boot attivo se non vengono aggiornate con shim firmati con il certificato 2023.
Per chi gestisce un sistema Linux con Secure Boot abilitato, l’azione da compiere è semplice: mantenere la distribuzione aggiornata tramite il gestore pacchetti ufficiale. Su sistemi Ubuntu o Debian, un sudo apt update && sudo apt upgrade è sufficiente per ricevere lo shim aggiornato, una volta che la distribuzione lo avrà reso disponibile. Per le installazioni in ambienti virtualizzati, è importante aggiornare anche il pacchetto edk2-ovmf sull’host, che fornisce il firmware UEFI alle macchine virtuali e deve includere i nuovi certificati come baseline per ogni nuova VM creata.
Una scadenza tecnica che rivela un problema strutturale più profondo
Questa vicenda è il sintomo di una tensione crescente tra i cicli di vita del software e quelli dell’hardware, aggravata da decisioni industriali che lasciano indietro milioni di persone. La fine del supporto a Windows 10, avvenuta nell’ottobre 2025, ha già reso di fatto obsoleti centinaia di milioni di PC perfettamente funzionanti.
Ora, la scadenza dei certificati Secure Boot aggiunge un altro livello di pressione su chi non ha potuto o voluto aggiornare. Il punto critico non è tecnico, le soluzioni esistono, ma è economico e infrastrutturale. Chi non può permettersi Windows 11 o un nuovo hardware, chi usa un PC aziendale su cui il reparto IT non ha ancora agito, chi semplicemente non era al corrente del problema, si troverà in una posizione di vulnerabilità reale senza essersene accorto.
Se hai un PC con Windows 11, controlla subito il tuo stato con il comando PowerShell indicato sopra. È questione di un minuto. Se sei su Windows 10, valuta seriamente l’iscrizione all’ESU prima della scadenza di ottobre 2026. Non risolve il problema sul lungo periodo, ma ti dà il tempo di pianificare una migrazione ordinata.
In ogni caso, ignorare la questione non è un’opzione. La sicurezza del processo di avvio è uno dei livelli più critici di protezione di un sistema, e lasciarlo esposto significa aprire una porta che i malware sanno benissimo come sfruttare.
