Come verificare la presenza del certificato UEFI CA 2023
Il Secure Boot è una funzionalità di sicurezza fondamentale dei sistemi operativi Windows che garantisce l’avvio del computer solo con software firmato e certificato. Con l’aggiornamento dei certificati Microsoft (da UEFI CA 2011 a UEFI CA 2023), è importante sapere quali sono presenti sul proprio PC per assicurarsi che il sistema sia protetto e aggiornato.
La necessità di questo aggiornamento è stata accelerata dalla scoperta della vulnerabilità BlackLotus, che ha richiesto a Microsoft di sostituire i vecchi certificati per garantire maggiore sicurezza. Se possiedi un PC con Windows 11 e hai il Secure Boot attivo, c’è un’importante scadenza da tenere d’occhio: giugno 2026. A quella data, il certificato di autorità di firma (CA) attualmente utilizzato, l’UEFI CA 2011, scadrà.
Microsoft sta già introducendo un nuovo Boot Manager firmato con il certificato UEFI CA 2023. Il problema sorge perché il Boot Manager certificato CA 2023 non è compatibile con il vecchio certificato CA 2011 presente nel database del Secure Boot del tuo PC. Se i certificati sul tuo PC non vengono aggiornati prima che Microsoft distribuisca in modo massivo il nuovo Boot Manager, il tuo sistema potrebbe non avviarsi più nel 2026, lasciandoti bloccato.
È fondamentale assicurarsi che il nuovo certificato Windows UEFI CA 2023 sia già presente nel database (DB) del Secure Boot del tuo sistema. Per controllare se il tuo sistema è pronto, puoi utilizzare un semplice comando in PowerShell. Non sono necessari programmi di terze parti. È essenziale eseguire PowerShell con i privilegi di amministratore per poter accedere ai dati del Secure Boot (DB) del sistema e prevenire problemi di accesso. Una volta aperta la finestra di PowerShell con i privilegi elevati, copia e incolla il seguente comando e premi Invio:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Il risultato del comando sarà una singola parola:
-
True: Congratulazioni! Il certificato UEFI CA 2023 è presente nel database del tuo Secure Boot. Il tuo sistema è aggiornato e non dovresti avere problemi di avvio legati alla scadenza di giugno 2026. -
False: Attenzione! Il certificato è assente. Il tuo PC è a rischio di non avviarsi più nel 2026 una volta che Microsoft implementerà il nuovo Boot Manager.
Cosa fare se il risultato è False
Se il tuo controllo ha dato esito False, significa che il certificato di firma più recente deve ancora essere aggiunto al database del Secure Boot del tuo PC.
-
Aggiornamenti di Windows: Assicurati che Windows Update sia attivo e che tu abbia installato tutti gli aggiornamenti cumulativi più recenti di Windows 11. Il nuovo certificato viene in genere distribuito tramite questi aggiornamenti.
-
Aggiornamento del BIOS/Firmware UEFI: In alcuni casi, i produttori di PC (OEM) includono il certificato aggiornato in un aggiornamento del BIOS/UEFI specifico. Visita il sito di supporto del produttore del tuo PC (es. Dell, HP, Lenovo, ASUS) e cerca gli aggiornamenti del firmware per il tuo modello.
Non tutti i produttori OEM garantiranno l’aggiornamento al certificato Windows UEFI CA 2023, soprattutto per i dispositivi più datati. Per esempio, HP non aggiornerà il firmware di PC e notebook prodotti prima del 2018. Al contrario, Acer garantisce il supporto ai nuovi certificati per tutti i portatili e i desktop prodotti dopo il 1° ottobre 2015.
Certificati di avvio sicuro:
| Certificati 2011 (CA) | Certificati (CA) 2023 |
|---|---|
| Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2.000 CA 2023 |
| Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 |
| Microsoft Option ROM UEFI CA 2023 |
La pagina di Microsoft sul Secure Boot e i certificati.
Commenti
Posta un commento