Scadenza del certificato Secure Boot di Windows e aggiornamenti dei certificati
Da quando Windows ha iniziato a supportare Secure Boot, la maggior parte dei dispositivi Windows ha utilizzato una serie di certificati Microsoft nel database UEFI Secure Boot. Questi certificati precedenti inizieranno a scadere gradualmente dal 2026. Per mantenere la sicurezza del boot e l'integrità della catena di fiducia, è necessario aggiornare i sistemi alla versione 2023 dei certificati Microsoft.
Se il sistema attualmente ha Secure Boot abilitato, assicurati che questi certificati vengano aggiornati prima della scadenza prevista per la metà del 2026.
Microsoft consiglia di completare l'aggiornamento dei certificati Secure Boot tramite Windows Update
Per la maggior parte degli utenti, gli aggiornamenti necessari verranno distribuiti automaticamente tramite Windows Update senza richiedere alcuna azione da parte dell'utente.
Se gli aggiornamenti sono stati ricevuti con successo può essere verificato tramite l'app Sicurezza di Windows, come descritto in Stato dell'aggiornamento del certificato Secure Boot nell'app Sicurezza di Windows.
Quando [Windows Update] è abilitato e il sistema ha Secure Boot attivato (consulta come abilitare Secure Boot), i dispositivi Windows supportati scaricheranno e applicheranno automaticamente i nuovi certificati Secure Boot e il nuovo Boot Manager al momento opportuno.
Il nuovo aggiornamento del database Secure Boot è stato introdotto in modo graduale sui dispositivi con Secure Boot abilitato a partire dal 2024 e completerà automaticamente l'aggiornamento del dispositivo prima della scadenza del certificato a giugno 2026.
[Abilita Windows Update per ottenere nuovi certificati]

Domanda 1: Come posso verificare lo stato di UEFI Secure boot?
Risposta 1: Si prega di seguire i passaggi seguenti:
- Nella barra di ricerca di Windows, digita Windows Security.

- Seleziona [Sicurezza dispositivo] dal menu a sinistra. Sotto [Secure boot], vedrai un indicatore di stato. L'icona Secure boot è contrassegnata da un badge verde, giallo o rosso, ognuno rappresenta lo stato attuale di Secure boot sul tuo sistema.

Domanda 2: Cosa devo fare se l'icona Secure boot è gialla o rossa?
Risposta 2: Si prega di consultare i passaggi di risoluzione dettagliati nell'articolo: Risoluzione dei problemi - L'icona Secure Boot visualizza un badge giallo o rosso.
Domanda 3: Cosa succede se il mio dispositivo non ottiene un nuovo certificato Secure Boot prima che il vecchio certificato scada?
Risposta 3: Dopo la scadenza del certificato di avvio sicuro, i dispositivi che non hanno ancora ricevuto il nuovo certificato 2023 possono comunque avviarsi e funzionare normalmente, e gli aggiornamenti standard di Windows continueranno ad essere installati. Tuttavia, questi dispositivi non potranno ottenere nuove protezioni di sicurezza durante il processo di avvio iniziale, inclusi l'aggiornamento degli amministratori di avvio di Windows, i database di Secure Boot, le liste di revoca o le misure di mitigazione per vulnerabilità di livello boot recentemente scoperte.
Col tempo, ciò limita la protezione del dispositivo contro minacce emergenti e può influire su scenari che si basano sulla fiducia Secure Boot, come il rafforzamento di BitLocker o i boot loader di terze parti. La maggior parte dei dispositivi Windows riceverà automaticamente le credenziali aggiornate e molti produttori OEM forniranno anche aggiornamenti del firmware quando necessario. Mantenere il dispositivo sempre aggiornato aiuta a garantire che possa continuare a ricevere la completa protezione di sicurezza progettata per un avvio sicuro.
Domanda 4: Quali sono gli effetti della disattivazione del dispositivo Secure Boot?
Risposta 4: I dispositivi che disattivano Secure Boot non riceveranno nuove credenziali Secure Boot nel firmware. Pertanto, saranno ancora vulnerabili a malware di livello boot (come i bootkit) poiché la protezione di Secure Boot non viene applicata.
Domanda 5: Dopo aver resettato il firmware alle impostazioni di default, il dispositivo ha smesso di avviarsi - cosa è successo? Come posso risolvere?
Risposta 5: Se Windows ha già utilizzato il boot manager firmato 2023, ma il firmware viene resettato al valore di default che non include il certificato Windows UEFI CA 2023, secure boot bloccherà il processo di avvio.
Puoi consultare la FAQ:
[Notebook] Risoluzione problemi - Errore Secure Boot Violation all'avvio
Domanda 6: Se il certificato Secure Boot del mio dispositivo è scaduto, posso ancora ricevere un certificato aggiornato?
Risposta 6: Sì. Anche se le credenziali esistenti sono scadute, è comunque possibile applicare gli aggiornamenti cumulativi che contengono nuove credenziali secure boot. Se il dispositivo può avviare Windows e installare gli aggiornamenti, le credenziali aggiornate possono essere scritte nel firmware secondo le linee guida di distribuzione pubblicate. La maggior parte dei dispositivi riceverà questi aggiornamenti automaticamente, ma alcuni sistemi potrebbero richiedere ulteriori aggiornamenti firmware.
Domanda 7: Come verificare lo stato delle chiavi Secure Boot UEFI?
Risposta 7: Si prega di seguire i seguenti passaggi:
- Inserisci PowerShell nella casella di ricerca del sistema Windows.
Nei risultati di ricerca, fai clic sull'icona di Windows PowerShell e seleziona Esegui come amministratore.
- Conferma che Key Exchange Key (KEK) includa "Microsoft Corporation KEK 2K CA 2023"
Inserisci [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Se appare True, significa che include "Microsoft Corporation KEK 2K CA 2023"
- Conferma che Signature Databases (DB) includano "Windows UEFI CA 2023"
Inserisci [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Se appare True, significa che include "Windows UEFI CA 2023"
- Conferma che Signature Databases (DB) includano "Microsoft UEFI CA 2023"
Inserisci [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Se appare True, significa che include "Microsoft UEFI CA 2023"
Domanda 8: Cosa devo fare se trovo un messaggio di errore TPM WMI (ID evento: 1801) nel Visualizzatore eventi?
Risposta 8: Il motivo di questo messaggio di errore è che le credenziali del secure boot sono state aggiornate, ma non sono ancora state applicate al firmware del dispositivo.
Si prega di eseguire prima Windows Update per assicurarsi che la versione del sistema operativo sia 26100.6725 o successiva, e poi procedere con i passaggi descritti nella Domanda 2.
Cronologia degli aggiornamenti di Windows 11, versione 25H2.
Domanda 9: Cosa devo fare se trovo un messaggio di errore TPM WMI (ID evento: 1802) nel Visualizzatore eventi?
Risposta 9: Il motivo di questo messaggio di errore è che l'aggiornamento del boot è deliberatamente bloccato perché il dispositivo rispetta condizioni note di firmware o hardware, che impediscono il completamento dell’aggiornamento in modo sicuro.
Si prega di segnalare il problema tramite il centro assistenza ASUS.
Domanda 10: Cosa devo fare se trovo un messaggio di errore TPM WMI (ID evento: 1803) nel Visualizzatore eventi?
Risposta 10: Il motivo di questo messaggio di errore è che il dispositivo non riesce a trovare la Key Exchange Key (KEK) firmata da PK.
Si prega di segnalare il problema tramite il centro assistenza ASUS.
Riferimento:
Scadenza dei certificati Secure Boot di Windows e aggiornamenti CA - Supporto Microsoft
Stato dell'aggiornamento dei certificati Secure Boot nell'app Sicurezza di Windows
Domande frequenti sul processo di aggiornamento Secure Boot - Supporto Microsoft
Eventi di aggiornamento delle variabili DB e DBX di Secure Boot - Supporto Microsoft
Cronologia degli aggiornamenti di Windows 11, versione 25H2 - Supporto Microsoft