// TOM'S HARDWARE ITALIA — CYBERSECURITY
Secure Boot, dal 24 giugno scadono tre certificati: le imprese sono chiamate ad aggiornare
Per le aziende che gestiscono parchi Windows, Linux e macchine virtuali con avvio protetto si avvicina una scadenza tecnica ma rilevante per la continuità della sicurezza: a partire dal 24 giugno 2026 inizia la scadenza dei certificati Microsoft del 2011 che sostengono la catena di fiducia di Secure Boot. Come riporta l'analisi tecnica pubblicata da Ars Technica, il punto non è lo spegnimento improvviso dei sistemi, ma la perdita progressiva della capacità di ricevere nuove protezioni contro minacce che colpiscono firmware e fase di avvio.
Il calendario riguarda certificati usati per verificare crittograficamente ciò che viene caricato prima del sistema operativo. Secondo la documentazione Microsoft sui certificati Secure Boot, il Microsoft Corporation KEK CA 2011 scade il 24 giugno 2026, mentre il Microsoft UEFI CA 2011 scade il 27 giugno 2026 per le funzioni legate a bootloader di terze parti e option ROM; il Microsoft Windows Production PCA 2011, usato per firmare Windows Boot Manager, arriva a scadenza il 19 ottobre 2026.
Secure Boot è una funzione del firmware UEFI pensata per consentire l'esecuzione, durante l'avvio, solo di codice firmato e considerato attendibile. La logica è quella di una catena: firmware, bootloader, database delle firme consentite e database delle revoche devono riconoscersi reciprocamente. Se un anello non è riconosciuto, Secure Boot può bloccare l'avvio del dispositivo.
Il meccanismo è stato progettato da Microsoft con i produttori di dispositivi per contrastare i bootkit, malware che si installano nelle componenti coinvolte nell'avvio e partono prima del sistema operativo e degli strumenti antimalware. La criticità per imprese e pubbliche amministrazioni è evidente: un bootkit può sopravvivere alla reinstallazione del sistema operativo e reinfettare la macchina anche dopo una bonifica tradizionale.
La migrazione è dalle autorità di certificazione del 2011 a quelle del 2023. Microsoft indica che i dispositivi non aggiornati continueranno ad avviarsi e a funzionare normalmente, ma non potranno più ricevere nuove protezioni per la fase iniziale del boot, inclusi aggiornamenti a Windows Boot Manager, database Secure Boot, liste di revoca e mitigazioni per nuove vulnerabilità a livello di avvio.
La pressione sul rinnovo non nasce solo da una scadenza amministrativa. Ars Technica collega la sostituzione delle firme anche alla scoperta di LogoFail, una serie di vulnerabilità critiche nei firmware UEFI che avviano praticamente ogni sistema Windows e Linux. Il bug, legato al parsing delle immagini usate per mostrare i loghi dei produttori durante il boot, ha permesso di aggirare Secure Boot e infettare il firmware con codice malevolo.
Il caso LogoFail si inserisce in una storia più lunga di attacchi alla fase di avvio. Ars Technica ricorda i primi bootkit degli anni Ottanta su Apple II, diffusi tramite floppy disk con giochi piratati, e poi i proof of concept per Windows emersi nei primi anni Duemila, tra cui BootRoot, presentato alla conferenza Black Hat del 2005, oltre a Vbootkit, Stoned Bootkit e Mebroot.
La minaccia si è poi spostata verso EFI e UEFI. Nel 2018 è stato individuato LoJax, indicato come primo caso noto di attacco reale al firmware UEFI e attribuito al gruppo sostenuto dal Cremlino noto anche come Sednit, Fancy Bear e APT 28. Nel 2020 i ricercatori di Kaspersky hanno scoperto MosaicRegressor, un malware che a ogni riavvio verificava la presenza di un file malevolo nella cartella di avvio di Windows e lo reinstallava se assente.
Da allora, secondo la ricostruzione della fonte primaria, sono emersi altri UEFI bootkit tracciati con nomi come ESpecter, FinSpy e MoonBounce. Per i responsabili IT questo rende la scadenza dei certificati un tema di gestione del rischio: non riguarda un singolo aggiornamento di sistema, ma la capacità dell'infrastruttura di restare allineata a una catena di fiducia riconosciuta.
Microsoft sostiene che gestirà il processo di aggiornamento per una parte si