mercoledì, Giugno 24, 2026

@2022 - All Right Reserved. Designed and Developed by PenciDesign

Secure Boot 2023: Microsoft ha distribuito l'aggiornamento a tutti i PC ore prima della scadenza

Windows 11 e Secure Boot 2023: l’aggiornamento è arrivato su tutti i PC — ecco come verificarlo

cropped-cropped-SitoAngolo di Windows 0
SCARICA il nostro tool

WinToolkit PRO

WinToolkit Pro è un'applicazione desktop avanzata scritta in C# (WPF) progettata per semplificare la manutenzione del sistema, il backup e la gestione dei software su Windows. Nata come estensione del progetto Angolo di Windows, offre un'interfaccia grafica moderna e pulita per eseguire operazioni complesse da riga di comando senza dover mai aprire il terminale.

Oggi, 24 giugno 2026, scade il primo dei tre certificati Secure Boot emessi nel 2011. Microsoft ha scelto di correre ai ripari nelle ultime ore distribuendo in modo massiccio i nuovi certificati 2023 — ma cosa significa davvero per il tuo PC, e soprattutto: ne sai già qualcosa?

In sintesi

SituazioneCosa fare
Segno verde nell’app SicurezzaNiente, sei già protetto
Avviso gialloAspetta il prossimo ciclo di Windows Update
Allerta rossaCerca aggiornamento BIOS sul sito del produttore
Sezione assenteSecure Boot disabilitato — considera di riabilitarlo dal BIOS
PC HP con BitLocker loopVerifica la versione BIOS corretta sul sito HP

Cosa sono i certificati Secure Boot e perché scadono

Secure Boot è una funzione di sicurezza che opera a livello firmware, prima ancora che Windows inizi a caricarsi. Il suo compito è verificare la firma digitale di ogni componente del processo di avvio, bloccando rootkit e bootkit dall’inserirsi nella catena di avvio. A garantire questa verifica ci sono dei certificati digitali — e quelli originali risalgono al 2011.

I tre certificati in scadenza sono:

Non si tratta di una sorpresa dell’ultimo minuto: Microsoft ha iniziato a distribuire i certificati sostitutivi del 2023 tramite Windows Update già dal 2024, accelerando progressivamente la copertura. L’aggiornamento di giugno 2026 ha rappresentato l’espansione più ampia fino ad oggi, portando la stragrande maggioranza dei PC supportati nella categoria che Microsoft definisce “high confidence” — ovvero dispositivi su cui l’aggiornamento può essere applicato automaticamente e in sicurezza.

Cosa succede se il tuo PC non ha ricevuto l’aggiornamento

Niente di catastrofico nell’immediato, ma è bene essere chiari su cosa si perde. La scadenza del certificato KEK 2011 non impedisce al PC di avviarsi, né interrompe la ricezione degli aggiornamenti Windows ordinari. Quello che smette di funzionare è la capacità di ricevere nuovi aggiornamenti di sicurezza a livello di boot, in particolare le revoche per bootloader malevoli scoperti di recente e le patch per vulnerabilità come il famigerato bootkit BlackLotus.

Il degrado della sicurezza è graduale, non immediato. Per la maggior parte degli utenti domestici su hardware moderno, l’aggiornamento è già arrivato in automatico.

Come verificare se il tuo PC ha già i certificati 2023

Metodo 1: Windows Security (il più semplice)

A partire dall’aggiornamento di aprile 2026, Windows 11 mostra lo stato dei certificati Secure Boot direttamente nell’app Sicurezza di Windows. Apri Sicurezza di Windows, clicca su Sicurezza dispositivo nel menu laterale, poi scorri fino alla sezione Secure Boot.

Vedrai uno di questi tre stati:

  • Segno di spunta verde — tutti i certificati richiesti sono stati applicati. Non devi fare nulla.
  • ⚠️ Avviso giallo — l’aggiornamento è in attesa. Il dispositivo potrebbe necessitare di ulteriori dati di compatibilità, oppure di un aggiornamento BIOS da parte del produttore. Microsoft continuerà a tentare la distribuzione automatica.
  • 🔴 Allerta rossa — esiste un problema specifico che blocca l’aggiornamento, tipicamente un’incompatibilità firmware. In questo caso è necessario consultare il sito di supporto del produttore del PC e verificare se è disponibile un aggiornamento BIOS.
Windows 11 e Secure Boot 2023: l'aggiornamento è arrivato su tutti i PC — ecco come verificarlo

Se la sezione Secure Boot non appare affatto nell’app, il tuo PC probabilmente ha Secure Boot disabilitato, oppure Windows è stato installato usando il bypass del registro su hardware non supportato.

Metodo 2: Informazioni di sistema

Premi Win + R, digita msinfo32 e premi Invio. Nella schermata Riepilogo sistema cerca la voce Stato avvio protetto: se riporta “Attivato”, Secure Boot è in funzione. Non mostra però quale versione dei certificati è installata — per questo è meglio usare il metodo 1.

Windows 11 e Secure Boot 2023: l'aggiornamento è arrivato su tutti i PC — ecco come verificarlo

Metodo 3: PowerShell (per chi vuole i dettagli)

Apri PowerShell come amministratore ed esegui:

powershell

Confirm-SecureBootUEFI
Windows 11 e Secure Boot 2023: l'aggiornamento è arrivato su tutti i PC — ecco come verificarlo

Se restituisce True, Secure Boot è attivo. Per un’analisi più approfondita dei certificati installati, puoi usare Get-SecureBootPolicy.

Attenzione agli utenti HP

Un caso particolare riguarda i PC HP: un aggiornamento BIOS difettoso rilasciato da HP all’inizio del 2026 ha causato loop di recupero BitLocker su alcuni dispositivi enterprise, bloccando di fatto l’installazione dei certificati Secure Boot 2023.

Se hai un PC HP e vedi l’avviso rosso, non aggiornare al BIOS più recente senza prima verificare che sia disponibile la versione corretta. HP ha riconosciuto il problema e ha rilasciato una versione riparata.

Il PC si è riavviato più volte dopo l’aggiornamento: è normale

Diversi utenti hanno segnalato nei forum che il PC si è riavviato due o tre volte dopo i recenti aggiornamenti di giugno. Non è un malfunzionamento: Microsoft ha confermato che è un comportamento atteso, specificamente legato al processo dei certificati Secure Boot. Scrivere i nuovi certificati nel firmware, poi applicare il nuovo boot manager, e infine avviare Windows con la nuova catena di certificati richiede riavvii separati. Se il tuo PC si è riavviato più volte dopo l’aggiornamento di giugno, stava lavorando correttamente.

La cartella C:\Windows\SecureBoot non è un virus

Nell’ondata di aggiornamenti di maggio 2026, molti utenti hanno notato una nuova cartella in C:\Windows\SecureBoot e si sono allarmati, ipotizzando la presenza di malware. Microsoft ha chiarito che non è un bug e che non va eliminata: Windows usa quella cartella per preparare i file dei certificati crittografici prima di scriverli nel firmware.

Windows 10 riceve l’aggiornamento Secure Boot

Anche chi è ancora su Windows 10 sta ricevendo i certificati 2023 — a patto di essere iscritto al programma Extended Security Updates (ESU). Il fatto che Microsoft stia distribuendo un aggiornamento di sicurezza così significativo anche a un sistema operativo che ha già raggiunto la fine del supporto standard è la prova di quanto questa transizione sia considerata critica.

Se sei su Windows 10 senza ESU, l’aggiornamento dei certificati non arriverà tramite Windows Update. Iscriversi all’ESU richiede peraltro il passaggio da account locale ad account Microsoft — un dettaglio non trascurabile per chi preferisce la privacy locale.

Per gli amministratori IT: cosa cambia dal 24 giugno

La scadenza del certificato KEK CA 2011 significa che Microsoft perde la capacità di firmare nuovi payload di revoca Secure Boot (aggiornamenti DBX) con la vecchia chiave. I payload già firmati e i metodi di rollout manuale continuano a funzionare. La chiave DB non scade fino al 19 ottobre, quindi Microsoft può ancora firmare nuovi boot manager fino a quella data.

Per il monitoraggio delle flotte enterprise, il riferimento ufficiale rimane aka.ms/GetSecureBoot. Forzare l’aggiornamento tramite chiavi di registro su un dispositivo in pausa, senza aver prima aggiornato il firmware, non è consigliato e può causare errori di avvio o loop di recupero BitLocker.

Potresti Leggere:
0 commenti 0 FacebookTwitterLinkedinRedditWhatsappTelegramEmail
Add new comment

Lascia un commento