Questo non significa che il computer smetterà di avviarsi, ma senza gli aggiornamenti dei certificati più recenti, il firmware UEFI non potrà ricevere nuove revoche DBX, patch del Windows Boot Manager o mitigazioni contro malware sofisticati come i bootkit. Il rischio maggiore riguarda sistemi più datati, server aziendali, macchine virtuali o computer con Secure Boot disattivato.
Perché è importante aggiornare
Secure Boot controlla driver UEFI, Option ROM, applicazioni EFI e bootloader per garantire che siano autentici e non modificati. La catena di fiducia si basa su PK, KEK, DB e DBX: la scadenza dei certificati 2011 interrompe la possibilità di aggiornare queste variabili, esponendo il sistema a vulnerabilità note. I certificati aggiornati del 2023 sostituiscono quelli obsoleti, autorizzando nuovi aggiornamenti di sicurezza e il blocco automatico di componenti compromessi.
Perché molti computer sono in pericolo – Webnews.it
Gli utenti domestici con Windows 11 aggiornato vedranno la transizione avvenire in automatico, ma chi utilizza hardware più vecchio o configurazioni personalizzate deve verificare manualmente la presenza dei nuovi certificati. Il controllo può avvenire tramite PowerShell:
Confirm-SecureBootUEFI
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match "UEFI CA 2023")Il primo comando conferma se Secure Boot è attivo, mentre il secondo verifica la presenza dei certificati 2023.
Aggiornamento manuale
Se il PC non aggiorna automaticamente, occorre rispettare quattro prerequisiti:
- Secure Boot attivo nel firmware UEFI;
- Avvio UEFI puro senza CSM legacy;
- Disco in formato GPT, non MBR;
- Firmware BIOS/UEFI aggiornato.
Dopo la verifica, è possibile abilitare manualmente il flag AvailableUpdates nel registro di sistema e avviare il task schedulato di aggiornamento:
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -PropertyType DWord -Value 0x40 -Force
Start-ScheduledTask -TaskName "Secure-Boot-Update"Windows copierà i file EFI nella cartella C:\Windows\System32\SecureBootUpdates e aggiornerà le variabili firmware durante i riavvii. I PC possono richiedere due o tre reboot consecutivi: il primo salva i blob EFI, il secondo aggiorna DB e KEK, il terzo carica il Boot Manager firmato con la nuova catena.
BitLocker e precauzioni finali
L’aggiornamento non interferisce con BitLocker, ma è fondamentale avere la recovery key correttamente salvata in account Microsoft, Entra ID, Active Directory o su supporto esterno. In caso di problemi durante il boot, la chiave consente di recuperare l’accesso ai dati senza rischi di perdita.
Anche se il PC continua a funzionare, ignorare l’aggiornamento dei certificati Secure Boot 2023 comporta l’esposizione a vulnerabilità critiche e all’impossibilità di ricevere nuove protezioni. Controllare lo stato di Secure Boot e applicare tempestivamente l’aggiornamento è l’unico modo per garantire che il sistema resti protetto e i dati al sicuro.
