A Microsoft anunciou que os certificados originais do Secure Boot, emitidos em 2011, começam a expirar em junho de 2026. Esse recurso de segurança verifica a integridade do software durante a inicialização do computador e impede a execução de códigos não confiáveis. Dispositivos que não receberem os novos certificados de 2023 antes do prazo continuarão inicializando e funcionando normalmente, mas perderão a capacidade de obter atualizações futuras para o processo de boot inicial.
O Secure Boot está presente em praticamente todos os PCs fabricados desde 2011 com Windows 10 ou 11 pré-instalados. Ele atua como um mecanismo de confiança baseado em certificados digitais armazenados no firmware UEFI. A expiração afeta principalmente os certificados Microsoft Corporation KEK CA 2011 e Microsoft UEFI CA 2011 em junho, com o Microsoft Windows Production PCA 2011 seguindo em outubro de 2026.
O que acontece após a expiração dos certificados antigos
Os computadores afetados mantêm o funcionamento básico sem interrupções imediatas. Atualizações padrão do Windows continuam sendo instaladas normalmente. No entanto, proteções específicas contra ameaças no estágio inicial de boot deixam de ser atualizadas.
Isso inclui correções para vulnerabilidades na cadeia de inicialização e atualizações nas listas de assinaturas autorizadas e revogadas. A Microsoft descreve o processo como uma das maiores operações coordenadas de manutenção de segurança no ecossistema Windows.
Atualizações já em andamento pela Microsoft e fabricantes
A empresa começou a distribuir os novos certificados de 2023 por meio de atualizações mensais do Windows. Dispositivos com Windows suportado recebem essas mudanças automaticamente em muitos casos. Fabricantes de hardware (OEMs) liberam atualizações de firmware complementares para garantir compatibilidade total.
PCs produzidos a partir de 2024 geralmente já incluem os certificados atualizados no firmware. Para modelos mais antigos, a combinação de atualizações do Windows e do fabricante resolve o problema na maioria das situações.
Como verificar e aplicar as atualizações necessárias
Usuários podem conferir o status dos certificados por meio de comandos no PowerShell ou verificações no editor do registro. A Microsoft disponibilizou guias detalhados para monitoramento e implantação em ambientes domésticos e corporativos.
Em cenários empresariais, administradores de TI gerenciam o processo com ferramentas próprias. A recomendação é instalar as atualizações o quanto antes para evitar estado de segurança degradado após junho de 2026.
Impacto em funcionalidades dependentes do Secure Boot
Recursos como melhorias no BitLocker e integridade de código no boot dependem da cadeia de confiança intacta. Bootloaders de terceiros e componentes opcionais também podem ser afetados se exigirem atualizações de confiança.
Desativar o Secure Boot é uma alternativa possível, mas exige chave de recuperação para discos criptografados com BitLocker. A Microsoft reforça que manter o recurso ativo é essencial para proteção contra rootkits e malware no boot.
Preparação recomendada para usuários e empresas
Instale todas as atualizações pendentes do Windows regularmente. Verifique se o fabricante do PC oferece atualizações de firmware recentes. Monitore comunicados oficiais da Microsoft sobre o tema para orientações específicas.
A transição representa uma renovação planejada da raiz de confiança após mais de 15 anos. Novos certificados têm validade estendida até 2038 e fortalecem a segurança geral do sistema.