Security

Windows Secure Boot: certificati in scadenza 2026

3 min di lettura

Riepilogo

Microsoft ha confermato che i certificati originali di Secure Boot introdotti nel 2011 inizieranno a scadere da fine giugno 2026 e che i nuovi certificati saranno distribuiti tramite gli aggiornamenti mensili di Windows, con il supporto coordinato di OEM e fornitori UEFI. La notizia è importante perché i dispositivi non aggiornati potrebbero continuare ad avviarsi ma non riuscire ad adottare future protezioni di sicurezza a livello di boot, rendendo essenziale per i team IT pianificare per tempo questo aggiornamento.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

Secure Boot è una delle protezioni più importanti di Windows in fase di avvio: garantisce che, prima del caricamento del sistema operativo, vengano eseguiti solo componenti affidabili e firmati digitalmente. Questa fiducia è ancorata a certificati archiviati nel firmware UEFI e Microsoft ha confermato che i certificati Secure Boot originali introdotti nel 2011 stanno raggiungendo la fine del ciclo di vita e inizieranno a scadere a fine giugno 2026. Per i team IT si tratta di un evento di manutenzione della sicurezza vincolato nel tempo e su scala di ecosistema: se i dispositivi non ricevono l’aggiornamento dei certificati, potrebbero continuare ad avviarsi, ma perderanno la capacità di adottare future protezioni a livello di boot.

Novità

Il “root of trust” di Secure Boot viene aggiornato

  • I certificati Secure Boot di lunga durata iniziano a scadere a partire da fine giugno 2026.
  • I nuovi certificati vengono distribuiti ai dispositivi Windows supportati tramite la normale cadenza degli aggiornamenti mensili di Windows.
  • Si tratta di uno sforzo coordinato tra Windows servicing, firmware OEM e provider UEFI per ridurre al minimo rischi e interruzioni.

Ampia preparazione degli OEM (soprattutto sui dispositivi più recenti)

  • Molti PC prodotti dal 2024 e quasi tutti i dispositivi spediti nel 2025 includono già i certificati aggiornati.
  • Per un sottoinsieme più ridotto di dispositivi già sul mercato, l’applicazione dei nuovi certificati potrebbe richiedere prima un aggiornamento del firmware OEM.

Maggiore visibilità e rollout graduale

  • Microsoft sta distribuendo la modifica con un approccio prudente e graduale, basato su test e sulla prontezza derivata dalla telemetria.
  • Nei prossimi mesi sono previsti messaggi di stato sugli aggiornamenti dei certificati nell’app Sicurezza di Windows, per aiutare gli utenti a monitorare i progressi.

Impatto per amministratori IT e utenti finali

Se i dispositivi non ricevono in tempo i nuovi certificati

  • È probabile che i dispositivi continuino a funzionare e che il software esistente continui a essere eseguito.
  • Tuttavia, entreranno in uno stato di sicurezza degradato e potrebbero non essere in grado di ricevere future mitigazioni a livello di boot (ad esempio quando vengono scoperte nuove vulnerabilità di avvio).
  • Nel tempo aumentano i rischi di compatibilità: OS/firmware/hardware più recenti o software dipendente da Secure Boot potrebbero non caricarsi.

Le versioni di Windows non supportate sono un rischio chiave

  • I dispositivi su versioni non supportate (in particolare Windows 10 dopo la fine del supporto il 14 ottobre 2025, salvo iscrizione a ESU) non riceveranno gli aggiornamenti tramite Windows Update.
  • Questi endpoint dovrebbero essere trattati come elementi di remediation prioritari (upgrade/sostituzione oppure garantire idoneità a ESU e una strategia di aggiornamento).

Azioni consigliate / prossimi passi

  1. Inventario e perimetro
    • Identificare tutti gli endpoint Windows e Windows Server in ambito, inclusi kiosk, server specializzati e dispositivi IoT/edge che potrebbero avere un servicing atipico.
  2. Validare il percorso di servicing
    • Confermare che i dispositivi stiano ricevendo gli ultimi aggiornamenti cumulativi mensili (gestiti da Microsoft dove applicabile).
    • Verificare che i requisiti di diagnostica/telemetria usati per la validazione della prontezza siano allineati con le policy della vostra organizzazione.
  3. Verifica della preparazione del firmware
    • Consultare in modo proattivo advisory e pagine di supporto degli OEM (Dell/HP/Lenovo e altri) e pianificare gli aggiornamenti UEFI/firmware necessari.
    • Eseguire un pilot degli aggiornamenti firmware su modelli hardware rappresentativi prima di una distribuzione ampia.
  4. Pianificare le eccezioni
    • Per i dispositivi non validati con sufficiente certezza tramite l’approccio graduale di Microsoft, usare le indicazioni del playbook per amministratori IT di Microsoft e i tool esistenti (Intune, Configuration Manager o di terze parti) per distribuire e monitorare.
  5. Preparare runbook di supporto
    • Passi di primo livello: applicare gli ultimi aggiornamenti di Windows, verificare il firmware OEM più recente, quindi inoltrare l’escalation tramite i canali di supporto Microsoft/OEM se i problemi persistono.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.