Scadenza del certificato Secure Boot di Windows e aggiornamenti dei certificati
Da quando Windows ha iniziato a supportare Secure Boot, la maggior parte dei dispositivi Windows ha utilizzato una serie di certificati Microsoft nel database Secure Boot UEFI. Questi certificati precedenti inizieranno a scadere gradualmente dal 2026. Per mantenere la sicurezza dell'avvio e l'integrità della catena di fiducia, è necessario aggiornare i sistemi alla versione 2023 dei certificati Microsoft.
Se il sistema ha attualmente Secure Boot abilitato, assicurarsi che questi certificati vengano aggiornati prima della loro scadenza a metà 2026.
Cosa devi fare?
Devi solo completare uno dei seguenti metodi di aggiornamento e attendere il nuovo Windows Boot Manager:
(Metodo I) Tramite aggiornamento automatico di Windows
Quando「Windows Update」è abilitato e il sistema ha Secure Boot attivato (consulta come abilitare Secure Boot), i dispositivi Windows supportati scaricheranno e applicheranno automaticamente i nuovi certificati Secure Boot e il nuovo Boot Manager al momento opportuno.
Il nuovo aggiornamento del database Secure Boot è stato distribuito a fasi sui dispositivi con Secure Boot abilitato dal 2024 e completerà automaticamente l’aggiornamento del dispositivo prima della scadenza dei certificati a giugno 2026.
Gli utenti con impostazioni predefinite di solito non hanno bisogno di ulteriori operazioni manuali.
[Abilita Windows Update per ottenere nuovi certificati] 
(Metodo II) Aggiorna manualmente UEFI BIOS
Da quando Windows ha introdotto il supporto per Secure Boot, la maggior parte dei dispositivi Windows utilizza una serie di certificati Microsoft nel database di Secure Boot UEFI. Questi certificati meno recenti inizieranno a scadere gradualmente a partire dal 2026. Per mantenere la sicurezza dell'avvio e l'integrità della catena di fiducia, è necessario aggiornare i sistemi alla versione 2023 dei certificati Microsoft.
Se il sistema ha Secure Boot abilitato, assicurarsi che questi certificati vengano aggiornati prima della loro scadenza a metà del 2026.
Cosa fare?
È sufficiente completare uno dei seguenti metodi di aggiornamento e attendere il nuovo Windows Boot Manager:
Avviso: Dopo aver aggiornato il BIOS, potrebbe essere richiesto di inserire la chiave di ripristino BitLocker per sbloccare e accedere al sistema operativo. Per i passaggi dettagliati, fare riferimento a questo articolo: Come trovare la chiave BitLocker.
È possibile anche disabilitare la Crittografia Dispositivo e la Crittografia Standard BitLocker prima di aggiornare il BIOS, e poi riabilitare la crittografia dopo l’aggiornamento del BIOS per proteggere la sicurezza dei dati. Per i passaggi dettagliati, fare riferimento a questo articolo: Introduzione alla Crittografia Dispositivo e alla Crittografia Standard BitLocker.
Per Scheda Madre
Puoi anche scaricare e aggiornare all’ultima versione di UEFI BIOS dal sito ufficiale ASUS per ottenere i certificati Secure Boot aggiornati.
Questo metodo è più adatto per utenti avanzati che hanno familiarità con il processo di aggiornamento del BIOS o per sistemi che non possono ricevere normalmente gli aggiornamenti tramite Windows Update.
1. Per scaricare e aggiornare all'ultima versione di UEFI BIOS dal sito ufficiale ASUS, puoi fare riferimento a: Come aggiornare il BIOS
2. Cancella le chiavi Secure Boot
2.1 Dopo aver aggiornato il BIOS e riavviato il sistema, rientra nel BIOS Setup, vai su Avanzate\Boot > Secure Boot.
Se la modalità Secure Boot è Standard, cambiala in Personalizzato.
2.2 Fai clic su Gestione chiavi.
2.3 Esegui "Cancella chiavi Secure Boot".
Fai clic su [Sì].
2.4 Conferma che tutte le chiavi UEFI Secure Boot (PK, KEK, DB, DBX) siano state eliminate correttamente.
3. Installa Chiavi di Secure Boot Predefinite
3.1 Dopo aver cancellato le chiavi di Secure Boot, esegui "Installa Chiavi di Secure Boot Predefinite". 
Clicca su [Sì].
3.2 Controlla che la Dimensione/Numero di Chiavi per PK/KEK/DB/DBX non sia 0 e che la Fonte della Chiave sia [Predefinito]. Il processo di aggiornamento delle Chiavi UEFI Secure Boot è ora completo.
Domande & Risposte
Domanda 1: Come Controllare lo Stato delle Chiavi UEFI Secure Boot?
Risposta: Segui questi passaggi:
1. Nella pagina BIOS, vai su Avanzate\Boot > Secure Boot > Gestione Chiavi.
2. Seleziona i seguenti elementi rispettivamente e poi seleziona "Elimina Chiavi":
➢ Gestione KEK
➢ Gestione DB
3. Selezionare "No" nella finestra di richiesta. (Nota: Questa operazione serve solo per visualizzare le informazioni sulla Chiave; selezionando "Sì" la Chiave verrà eliminata.)
4. Confermare che la Gestione KEK contenga "Microsoft Corporation KEK 2K CA 2023".
5. Confermare che la Gestione DB contenga sia "Microsoft UEFI CA 2023" che "Windows UEFI CA 2023".
Per Notebook
È anche possibile scaricare e aggiornare il UEFI BIOS all'ultima versione dal sito ufficiale ASUS per ottenere i certificati Secure Boot aggiornati.
Questo metodo è più adatto agli utenti avanzati che hanno familiarità con il processo di aggiornamento del UEFI BIOS.
1. Scaricare e aggiornare il UEFI BIOS all'ultima versione dal sito ufficiale ASUS. Puoi fare riferimento a: Come aggiornare il BIOS in Windows.
2. Ripristina alla modalità Setup
2.1 Dopo aver aggiornato il BIOS, riavvia il sistema e rientra nel BIOS Setup. Vai su Avanzate\Boot > Secure Boot.
2.2 Clicca su Gestione Chiavi.
2.3 Esegui "Ripristina alla modalità Setup".
2.4 Clicca [Sì].
2.5 Conferma che tutte le chiavi UEFI Secure Boot (PK, KEK, DB, DBX) siano state eliminate con successo.
3. Ripristina le chiavi di fabbrica
3.1 Esegui "Ripristina le chiavi di fabbrica".
3.2 Clicca [Sì].
3.3 Verificare che la Dimensione/Numero di Chiavi per PK/KEK/DB/DBX non sia zero.
Il processo di aggiornamento delle Chiavi UEFI Secure Boot è ora completato.
Domande & Risposte
Domanda 1: Come posso verificare lo stato delle Chiavi UEFI Secure Boot?
Risposta: Seguire questi passaggi:
1. Nella pagina BIOS, andare su Avanzate\Avvio > Secure Boot > Gestione Chiavi.
2. Selezionare ognuno dei seguenti elementi e poi fare clic su “Dettagli”:
➢ Chiave di scambio Chiavi (KEK)
➢ Firme autorizzate (db)
3. Conferma che Chiave si scambio Chiavi (KEK) includa "Microsoft Corporation KEK 2K CA 2023".
4. Conferma che le Firme autorizzate (db) includano sia "Microsoft UEFI CA 2023" che "Windows UEFI CA 2023".
Per AIOT
Gli utenti possono scaricare e aggiornare all'ultima versione del UEFI BIOS dal sito ufficiale ASUS per ottenere i certificati Secure Boot aggiornati. Questo metodo è più adatto agli utenti avanzati che hanno familiarità con il processo di aggiornamento del BIOS, oppure per sistemi che non riescono a ricevere correttamente gli aggiornamenti tramite Windows Update.
Scarica e aggiorna all'ultima versione del UEFI BIOS dal sito ufficiale ASUS AIoT. Per le istruzioni, puoi fare riferimento a:
1. Scarica e aggiorna all'ultima versione del UEFI BIOS dal sito ufficiale ASUS AIoT. Per le istruzioni, puoi fare riferimento a: Come aggiornare il BIOS
2. Installa le chiavi predefinite di Secure Boot:
2.1 Dopo aver aggiornato il BIOS, riavvia il sistema. Rientra nell'utility di configurazione del BIOS e vai su Sicurezza > Secure Boot.
2.2 Se la Modalità Secure Boot è impostata su Personalizzata, cambiala in Standard.
2.3 Clicca su OK (per applicare "Installa impostazioni di fabbrica nella Gestione Chiavi")
2.4 Clicca su Gestione Chiavi Avanzata.
2.5 Verifica che la dimensione/numero di chiavi per PK, KEK, DB e DBX non sia zero.
D&R
Domanda 1: Come posso controllare lo stato delle Chiavi Secure Boot UEFI per confermare che i certificati Microsoft 2023 sono stati installati?
Risposta: Segui i passaggi sotto indicati:
1. Se la Modalità Secure Boot è impostata su Standard, cambiala in Personalizzata. 
2. Fai clic su OK.
3. Fai clic su Gestione Chiavi Esperto.
4. Seleziona Chiave di Scambio Chiavi (KEK) > Dettagli.
5. Verifica che la Gestione KEK includa "Microsoft Corporation KEK 2K CA 2023".
6. Seleziona Firme Autorizzate (db) > Dettagli.
7. Verifica che la Gestione DB contenga tutti i seguenti elementi: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" e "Microsoft Option ROM UEFI CA 2023".