Come fare, Notizie

Windows tuo Windows ha una scadenza di sicurezza fissata per giugno 2026

di Stefan Dasic | 28 maggio 2026
Windows un portatile

L'aggiornamento dei certificati Secure Boot è in fase di distribuzione su tutti Windows supportati tramite Windows . A giugno 2026, i certificati Secure Boot integrati in Windows 2011 inizieranno a scadere e Microsoft li sostituirà con nuovi certificati datati 2023.

La buona notizia: se mantieni aggiornato il tuo PC, probabilmente non dovrai fare nulla. La cattiva notizia: alcuni dispositivi più vecchi potrebbero non effettuare la transizione senza intoppi. Il tuo PC non smetterà improvvisamente di funzionare, ma col tempo potrebbe perdere importanti protezioni di sicurezza a livello di avvio senza che te ne accorga.

Ecco cosa sta succedendo, perché è importante e come verificare che il tuo computer rispetti la scadenza.

Che cos'è Secure Boot e cosa sta per scadere?

Secure Boot è una funzionalità del firmware UEFI integrata praticamente in tutti i PC venduti a partire dal 2012 circa. Si avvia prima Windows inizi a caricarsi e ha il compito di verificare che il boot loader e i primi componenti di avvio siano stati firmati da un soggetto attendibile. Se un elemento non presente nell'elenco di fiducia, ad esempio un bootkit, tenta di inserirsi nella catena di avvio, Secure Boot ne impedisce l'esecuzione.

Come funziona Secure Boot

Il concetto di "parte fidata" è l'elemento fondamentale. La fiducia viene stabilita tramite certificati crittografici integrati nel firmware della scheda madre. I certificati attuali sono stati emessi nel 2011 e stanno per scadere. Sono coinvolti tre certificati specifici:

  • Microsoft Corporation KEK CA 2011: scadenza 24 giugno 2026
  • Microsoft UEFI CA 2011: scadenza 27 giugno 2026
  • Microsoft Windows PCA 2011: scadenza 19 ottobre 2026

Microsoft li sta sostituendo con una serie datata 2023, che include Windows CA 2023 e Microsoft Corporation KEK 2K CA 2023. Secondo quanto dichiarato dagli ingegneri Microsoft durante una sessione AMA tenutasi nel marzo 2026, i nuovi certificati sono validi fino al 2038 ed è prevista una transizione separata alla crittografia post-quantistica intorno al 2030 per l'hardware futuro.

«Il mio computer smetterà di funzionare?»

No. Questa è la cosa più importante da capire, perché le voci di corridoio hanno avuto più risalto dei fatti.

Se alla scadenza il tuo PC utilizza ancora i certificati del 2011, Windows comunque, Windows continuerà a funzionare e il tuo PC continuerà a funzionare normalmente.

La novità è che, secondo quanto dichiarato dalla stessa Microsoft, il dispositivo «non potrà più ricevere nuovi aggiornamenti di sicurezza» relativi alla fase iniziale di avvio, inclusi gli aggiornamenti di Windows Manager, i database Secure Boot, gli elenchi di revoca e le misure di mitigazione per le vulnerabilità a livello di avvio recentemente individuate.

In parole povere: con il passare del tempo diventa sempre più difficile proteggere il tuo PC. È protetto dalle minacce di avvio attualmente note, ma non necessariamente da quelle che verranno scoperte il mese prossimo o l'anno prossimo.

Questo è un problema perché i bootkit operano a livello di sistema, prima ancora che Windows i programmi antivirus entrino in funzione. Si avviano prima di qualsiasi altra cosa e possono disattivare gli strumenti di sicurezza che normalmente li individuerebbero.

Il problema BlackLotus

Se volete un esempio concreto del perché la sicurezza a livello di avvio sia importante, date un'occhiata a BlackLotus.

BlackLotus è un bootkit UEFI apparso sui forum di hacking nel 2022 e la cui presenza in ambiente reale è stata confermata dai ricercatori all'inizio del 2023. Sfruttava la vulnerabilità CVE-2022-21894, soprannominata «Baton Drop», per aggirare il Secure Boot su Windows completamente aggiornati. Una volta installato, era in grado di disabilitare BitLocker, l'integrità del codice protetta dall'hypervisor (HVCI) e Microsoft Defender prima che Windows fosse Windows caricato.

Microsoft ha risolto la vulnerabilità alla base delCVE-2023-24932, ma correggere in modo sicuro i gestori di avvio vulnerabili è un'operazione complessa. La revoca dei componenti di avvio sbagliati può rendere i sistemi inavviabili, motivo per cui Microsoft ha implementato le misure di protezione in modo graduale nel corso di diversi anni.

Il rinnovo dei certificati previsto per il 2026 è un evento pianificato nell'ambito del ciclo di vita dei prodotti (i certificati del 2011 sarebbero comunque scaduti), ma consente anche di rafforzare ulteriormente la sicurezza del Secure Boot, un'iniziativa che Microsoft sta portando avanti in risposta alla vulnerabilità dei gestori di avvio e ad attacchi come BlackLotus.

Con l'introduzione dei nuovi trust anchor, Microsoft potrà continuare a distribuire componenti di avvio più recenti firmati nel 2023 e revocare in tutta sicurezza quelli vulnerabili man mano che emergono nuove minacce. I dispositivi che non effettueranno la transizione potrebbero alla fine non beneficiare di tali protezioni future.

Come funziona l'implementazione

Microsoft sta adottando un'implementazione graduale pensata per evitare di compromettere il funzionamento dei sistemi.

Windows pianificata Windows viene eseguita all'incirca ogni 12 ore e applica l'aggiornamento in più fasi:

  1. Aggiungi la nuovaCAWindows 2023al database delle firme del firmware.
  2. Se il vecchio certificato di terze parti del 2011 è ancora presente, aggiungere ancheMicrosoft UEFI CA 2023eMicrosoft Option ROM UEFI CA 2023.
  3. Aggiungi la nuova chiaveKEK 2K CA 2023 di Microsoft Corporation.
  4. Aggiornare il Windows Manager Windows con una versione firmata dal nuovo certificato. Questa operazione verrà posticipata al prossimo riavvio automatico del sistema.

Secondo le linee guida di Microsoft per i professionisti IT, il completamento dell'intero processo richiede circa 48 ore e uno o più riavvii. Ogni fase deve essere completata con successo prima che venga eseguita quella successiva, pertanto un dispositivo può rimanere bloccato a metà della sequenza per un certo periodo se, ad esempio, è in attesa di un aggiornamento del firmware o di un riavvio pianificato.

Per la maggior parte degli utenti privati, ciò avviene in modo trasparente in background tramite i normali aggiornamenti cumulativi.

A partire Windows di aprile 2026, l'app Windows include informazioni aggiornate sullo stato dell'avvio sicuro nella sezione " Sicurezza del dispositivo ", che indicano se i nuovi certificati sono stati applicati correttamente.

Impostazioni di avvio sicuro

Cosa potrebbe andare storto

La maggior parte dei sistemi effettuerà la transizione senza problemi, ma esistono alcuni punti critici noti:

  • PC meno recenti con firmware obsoleto.Alcune implementazioni di firmware UEFI meno recenti non supportano correttamente i nuovi certificati. Per completare la transizione, su questi sistemi potrebbe essere necessario un aggiornamento del BIOS o del firmware fornito dal produttore.
  • PC che hanno aggirato i requisiti Windows .Se Secure Boot è stato disabilitato per installare Windows utilizzando soluzioni alternative non ufficiali, i nuovi certificati non possono essere applicati correttamente.
  • Sistemi con BIOS legacy / CSM.I dispositivi che utilizzano il BIOS legacy (o UEFI con il modulo di supporto alla compatibilità abilitato) non utilizzano affatto Secure Boot, pertanto non rientrano affatto nell'ambito di applicazione di questo aggiornamento.
  • Firmware personalizzati e configurazioni insolite.Alcune configurazioni di firmware personalizzate o insolite potrebbero attivare una richiesta di ripristino di BitLocker in seguito alla modifica delle variabili di Secure Boot. Microsoft ha tenuto a precisare che BitLockernonviene disabilitato, ma che gli utenti dovrebbero tenere a portata di mano le proprie chiavi di ripristino per ogni evenienza.

Windows ha segnalato, durante i test, il verificarsi di errori di aggiornamento su migliaia di PC dotati di firmware obsoleto. Le linee guida fornite dalla stessa Microsoft avvertono, in generale, che eventuali limitazioni relative al firmware, alla piattaforma e all'OEM potrebbero impedire l'aggiornamento. In molti casi, Windows segnalerà i sistemi interessati con avvisi di stato di colore giallo o rosso.

Cosa dovrebbero fare gli utenti privati

Per la maggior parte delle persone, il consiglio è semplice:

  • Mantieni Windows aggiornato.Microsoft sta distribuendo i nuovi certificati tramite Windows normali Windows e la maggior parte degli utenti privati non dovrà fare altro che installare gli aggiornamenti mensili.
  • Controlla lo stato di Secure Boot (il testo, non solo il colore).Apri"Windows " >"Sicurezza del dispositivo" >"Secure Boot". Un badge verde con il testo"Secure Boot è attivo e impedisce il caricamento di software dannoso all'avvio del dispositivo"indica che è tutto a posto. Microsoft avverte che un semplice segno di spunta verde non conferma che i nuovi certificati siano stati applicati.
  • Se il tuo dispositivo è di vecchia generazione, verifica se il produttore ha rilasciato un aggiornamento del BIOS o del firmware.In alcuni sistemi, tali aggiornamenti sono necessari affinché l'aggiornamento di Secure Boot possa essere completato correttamente. Ciò è particolarmente importante per i PC prodotti prima del 2024.
  • Non disattivare Secure Boot per "risolvere" un problema.Disattivare Secure Boot è esattamente la cosa sbagliata da fare: elimina completamente la protezione invece di aggiornarla. Alcuni sistemi anti-cheat dei giochi e alcune app meno recenti chiedono agli utenti di farlo.
  • Non fatevi prendere dal panico per la nuova cartella SecureBoot. L'aggiornamento cumulativo Windows del maggio 2026 (KB5089549) crea una cartella in C:\Windows\SecureBoot che contiene script di esempio in PowerShell destinati agli amministratori IT. Non si tratta di malware, è un file previsto e non è necessario eliminarlo.
  • Utilizza una protezione anti-malware aggiornata e in tempo reale, in grado di rilevare le minacce a livello di sistema operativo anche nel caso in cui alcune riescano a eludere il Secure Boot.

Cosa dovrebbero fare i team IT

Se gestisci una flotta, Microsoft ha pubblicatouna guida dettagliatae il lavoro è più complesso. In breve:

  • Fai subito un inventario dei tuoi dispositivi. Raccogli informazioni su produttore, modello, versione del BIOS e data, scheda madre e stato di Secure Boot per l'intero parco macchine. Microsoft mette a disposizione uno script di esempio per PowerShell all'indirizzo aka.ms/GetSecureBoot che mostra le chiavi di registro e gli ID evento pertinenti.
  • Controllare gli ID evento 1801 e 1808.L'ID evento 1808 conferma che i nuovi certificati sono stati installati. L'ID evento 1801 indica che il dispositivo non ha completato l'aggiornamento.
  • Effettuare dei test prima dell'implementazione su larga scala.Microsoft consiglia di testare almeno quattro dispositivi per ogni combinazione unica di produttore/modello/firmware. Alcuni sistemi potrebbero richiedere un aggiornamento del firmware OEM prima di poter accettare i nuovi certificati.
  • Scegliere un unico metodo di distribuzione per ogni dispositivo.È possibile utilizzare chiavi di registro, Criteri di gruppo, strumenti da riga di comando WinCS o script Intune/ConfigMgr, ma non combinare metodi diversi sullo stesso computer.
  • Presta attenzione alla creazione di immagini PXE e a Hyper-V. Potrebbe essere necessario rifirmare i server PXE SCCM/MECM boot.wim, inoltre potrebbe essere necessario aggiornare gli host Hyper-V prima di creare nuove macchine virtuali utilizzando il KEK 2023 nel modello di firmware.
  • Indicare i dispositivi che non possono essere aggiornati.L'hardware meno recente che non beneficia del supporto OEM per il firmware potrebbe dover essere sostituito prima della scadenza o essere formalmente accettato come eccezione, previa adozione di misure di controllo compensative. Tali dispositivi continueranno a funzionare, ma potrebbero non beneficiare delle future protezioni a livello di avvio.

In conclusione

Si tratta di uno di quegli eventi legati alla sicurezza che non provocheranno alcun incidente grave il 24 giugno 2026. Quel giorno non si verificherà alcun problema evidente.

Il rischio sta in ciò che accadrà nei mesi e negli anni a venire. I dispositivi che non riusciranno a passare alla nuova catena di fiducia potrebbero rimanere gradualmente indietro rispetto alle future protezioni a livello di avvio, man mano che Microsoft continuerà a rispondere a minacce come BlackLotus e altri bootkit.

Per la maggior parte degli utenti privati, Windows gestirà automaticamente la transizione. Il vostro compito principale è quello di mantenere aggiornato il sistema e verificare lo stato di Secure Boot prima della scadenza.

Se il tuo hardware è piuttosto datato, questo è il momento giusto per verificare se il produttore fornisce ancora aggiornamenti del firmware e se il tuo PC è pronto per il prossimo decennio di protezioni Secure Boot.

Premio "Scelta della redazione" di CNET 2026

«Una delle migliori suite di sicurezza informatica al mondo.» 

Secondo CNET.Leggi la loro recensione

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

Violazioni dei dati
donna e nave da crociera

Carnival conferma una violazione dei dati che ha colpito quasi 6 milioni di persone

Maggio 28, 2026

Il colosso delle crociere Carnival ha subito l'ennesima violazione dei dati: il gruppo ShinyHunters sostiene infatti di aver sottratto dati personali che riguardano quasi 6 milioni di persone.

AI
Informazioni sulle minacce: le minacce nascoste

download falso download di ChatGPT infetta Mac Windows Mac con malware

Maggio 28, 2026

Stai cercando ChatGPT? Questo download fasullo distribuisce malware sia Mac Windows a Mac , utilizzando payload distinti e su misura per ciascuna piattaforma.

Notizie
phishing su larga scala

Il kit di phishing Kali365 aggira l'autenticazione a più fattori (MFA) e ruba le credenziali di accesso Microsoft

Maggio 27, 2026

L'FBI ha avvertito che alcuni hacker stanno utilizzando un nuovo kit di phishing per ottenere l'accesso a lungo termine agli account Microsoft Outlook, Teams e OneDrive.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe