Cosa accade a un PC Windows dopo la scadenza del certificato KEK CA 2011 il 24 giugno 2026?

Il PC continua ad accendersi normalmente, ma il livello di protezione del boot si congela e degrada silenziosamente. Il punto più insidioso è che i PC non smettono di funzionare, ma il sistema diventa progressivamente più esposto: non potranno più essere applicate nuove revoche DBX, congelando di fatto la protezione del boot.

Quale categoria di dispositivi è maggiormente a rischio perché potrebbe non ricevere i nuovi certificati Secure Boot 2023?

PC con Windows 10 fermo a build precedenti a ottobre 2025 e senza Extended Security Updates (ESU). Microsoft ha distribuito i nuovi certificati a partire dalla metà del 2025 tramite aggiornamenti cumulativi. I PC con Windows 10 fermi a build precedenti a ottobre 2025 senza ESU non hanno ricevuto i nuovi certificati e non esiste remediation ufficiale aggiuntiva.

Per gestire la transizione dei certificati Secure Boot in una PMI, qual è la prima azione strutturata consigliata dall'articolo?

Effettuare un inventario immediato di tutti i dispositivi con Secure Boot attivo per valutarne lo stato. L'articolo raccomanda per gli ambienti aziendali un piano d'azione strutturato che parte da un inventario immediato di tutti i dispositivi con Secure Boot attivo, per poi passare a una fase pilota e a un deployment controllato.

Qual è la differenza principale tra la scadenza del certificato Microsoft Corporation KEK CA 2011 (24 giugno) e quella del Microsoft UEFI CA 2011 (27 giugno)?

La scadenza del KEK CA 2011 impedisce l'aggiunta di nuovi certificati al database Secure Boot, mentre la scadenza dell'UEFI CA 2011 riguarda la firma dei boot loader e driver UEFI esistenti. Le due scadenze hanno impatti diversi: il KEK CA 2011 è la chiave di scambio che autorizza l'aggiunta di nuovi certificati (senza di essa non si possono più inserire nuovi certificati), mentre l'UEFI CA 2011 è l'autorità che ha firmato boot loader e driver UEFI per oltre un decennio. La data più critica per l'utente comune è il 24 giugno.

Secure Boot in scadenza: guida alla remediation

Q: Cos'è il Secure Boot introdotto da Microsoft nel 2011?

Una catena di fiducia crittografica che dal firmware verifica ogni componente caricato durante l'avvio. Il Secure Boot crea una catena di fiducia crittografica che parte dal firmware UEFI e verifica ogni componente caricato durante l'avvio (boot loader, driver), bloccando codice non firmato o manomesso.

I certificati Secure Boot del 2011 scadono tra poche settimane. I PC continueranno ad accendersi, ma perderanno per sempre la protezione contro bootkit e rootkit UEFI.

Il 24 giugno 2026 non sarà un giorno qualunque per la sicurezza informatica. In quella data scade il primo dei tre certificati Microsoft che dal 2011 garantiscono la catena di fiducia del Secure Boot su centinaia di milioni di PC Windows nel mondo. Non ci saranno schermate blu, né sistemi bloccati: i computer continueranno ad accendersi normalmente. Ed è proprio questo il problema. Perché il degrado sarà silenzioso, progressivo e, per una fetta significativa di dispositivi — in particolare quelli rimasti su Windows 10 senza Extended Security Updates — irreversibile.

🔍 Il tuo PC è a rischio? Checklist in 30 secondi

Hai Windows 11 aggiornato? → Probabilmente sei già protetto. Verifica qui sotto.
Hai Windows 10 aggiornato a ottobre 2025 o con ESU? → Il pacchetto certificati potrebbe essere già presente nel sistema, in attesa di applicazione. Approfondisci qui.
Hai Windows 10 fermo a build precedenti a ottobre 2025, senza ESU? → Il tuo PC non ha ricevuto i nuovi certificati. Nessuna remediation ufficiale aggiuntiva.
Gestisci PC aziendali? → Serve un inventario immediato di tutti i dispositivi con Secure Boot attivo.
Hai un PC datato con firmware UEFI bloccato? → Anche con Windows 11, potresti aver bisogno di un aggiornamento firmware del produttore.

Cosa sta succedendo: il contesto

Per capire la portata dell'evento bisogna tornare al 2011, quando Microsoft introdusse Secure Boot con Windows 8 e lo standard UEFI. L'idea era semplice e potente: creare una catena di fiducia crittografica che parte dal firmware e verifica ogni componente caricato durante l'avvio — dal boot loader ai driver — bloccando qualsiasi codice non firmato o manomesso. I "trust anchor" di questa catena sono tre certificati digitali firmati da Microsoft, di cui il più importante è il Microsoft Corporation KEK CA 2011, la chiave di scambio (Key Exchange Key) che consente al firmware di accettare nuove firme e aggiornamenti.

Questi certificati hanno una validità di circa 15 anni. E quei 15 anni stanno per scadere: il 24 giugno per il KEK CA 2011, il 27 giugno per il Microsoft UEFI CA 2011 e il 19 ottobre 2026 per il Microsoft Windows Production PCA 2011 [notebookcheck.net].

Microsoft ha già predisposto i certificati sostitutivi — la famiglia Windows UEFI CA 2023 — e li ha distribuiti a partire dalla metà del 2025 tramite gli aggiornamenti cumulativi mensili, sia su Windows 11 sia sulle build supportate di Windows 10 [windowserver.it]. Il meccanismo è un'attività pianificata chiamata Secure-Boot-Update che, eseguendosi ogni 12 ore, applica progressivamente i nuovi certificati nel database UEFI e aggiorna il Windows Boot Manager con la nuova firma. Ma qui arriva il nodo: non tutti i dispositivi riceveranno questo aggiornamento.

Le date da segnare sul calendario

La scadenza non è un evento singolo ma una cascata distribuita su quattro mesi. Ecco il calendario esatto:

24 giugno 2026: scade il Microsoft Corporation KEK CA 2011, la chiave di scambio che autorizza l'aggiunta di nuovi certificati al database Secure Boot.
27 giugno 2026: scade il Microsoft UEFI CA 2011, l'autorità di certificazione che ha firmato la quasi totalità dei boot loader e driver UEFI per oltre un decennio (inclusi quelli Linux) [raffaelechiatto.com].
19 ottobre 2026: scade il Microsoft Windows Production PCA 2011, utilizzato per firmare i componenti di produzione del sistema operativo.

La data più critica per l'utente comune è il 24 giugno: è il punto di non ritorno oltre il quale un dispositivo senza i certificati 2023 perde la capacità di ricevere qualsiasi aggiornamento di sicurezza per l'ambiente di pre-boot. Non è un blocco immediato, ma un congelamento permanente del livello di protezione.

Cosa succede dopo la scadenza: il degrado silenzioso

Il punto più insidioso di questa transizione è che i PC non smetteranno di funzionare. Si accenderanno, caricheranno Windows, eseguiranno le applicazioni. Gli aggiornamenti standard di Windows continueranno a installarsi. La quotidianità sembrerà invariata. Ma sotto la superficie, il sistema diventerà progressivamente più esposto.

Cosa smette di funzionare esattamente? Secondo la documentazione Microsoft ufficiale [support.microsoft.com]:

Niente nuove revoche DBX: il database che contiene le firme dei boot loader compromessi o revocati non potrà più essere aggiornato. Qualsiasi boot loader dannoso scoperto dopo il 24 giugno 2026 non potrà essere bloccato su questi sistemi.
Niente aggiornamenti del database Secure Boot (DB): impossibile aggiungere nuove firme autorizzate per componenti legittimi aggiornati.
Niente fix per il Windows Boot Manager: le vulnerabilità scoperte nel boot loader di Windows, anche quelle più critiche, resteranno senza patch su questi dispositivi.
Niente mitigazioni per vulnerabilità boot-layer: tecniche come BlackLotus — il bootkit UEFI documentato nel 2023 che bypassa integralmente Secure Boot sfruttando firme revocate ma non bloccate su firmware obsoleti — diventano una minaccia permanente.

Il paragone citato da diversi analisti è quello di un'auto che continua a marciare ma con l'airbag disattivato: tutto sembra normale finché non si verifica l'incidente. E nel panorama delle minacce 2026, dove gli attacchi al firmware sono in costante aumento, l'incidente è una questione di "quando", non di "se".

Il vero problema: Windows 10 senza Extended Security Updates

Se c'è un messaggio che merita attenzione è questo: Windows 10 senza ESU ha opzioni di remediation estremamente limitate, ma il quadro non è completamente nero per tutti.

Per capire la sfumatura, occorre distinguere due situazioni. Il supporto mainstream di Windows 10 è terminato il 14 ottobre 2025. Fino a quella data, Microsoft ha distribuito aggiornamenti cumulativi mensili che includevano — a partire proprio da ottobre 2025 per Windows 10 22H2 e successive — le chiavi di registro (AvailableUpdates, UEFICA2023Status) e i certificati 2023 in forma "staged", pronti per essere applicati dall'attività pianificata Secure-Boot-Update al successivo riavvio [ictpower.it].

Questo significa che:

Un PC Windows 10 aggiornato fino a ottobre 2025 potrebbe già avere i certificati 2023 in attesa nel registro di sistema. L'attività pianificata continua a essere eseguita ogni 12 ore anche in assenza di nuovi aggiornamenti cumulativi e, se il firmware UEFI è compatibile, può applicarli. Non c'è garanzia assoluta — dipende dal modello di firmware e dal produttore — ma la finestra non è chiusa a prescindere.
Un PC Windows 10 fermo a build precedenti a ottobre 2025, senza ESU, non ha invece alcuna via di remediation ufficiale. Il pacchetto certificati non è mai arrivato sul sistema e, senza ESU, non arriverà. Qui la situazione è effettivamente senza rimedio lato Microsoft.
Un PC Windows 10 con ESU attivo continua a ricevere aggiornamenti cumulativi e quindi anche eventuali fix e perfezionamenti del deployment dei certificati 2023. È il percorso supportato.

In tutti i casi, va considerato un ulteriore fattore: molti PC progettati per Windows 10 hanno firmware UEFI che i produttori non aggiornano più, rendendo impossibile l'adozione dei certificati 2023 anche qualora il sistema operativo li avesse già ricevuti e staged [ilsoftware.it]. La combinazione "nessun aggiornamento firmware OEM + certificati non applicabili" è il vero punto di massima vulnerabilità. Qui l'unica strada per recuperare un livello di sicurezza adeguato è la migrazione a Windows 11 su hardware compatibile, oppure la sostituzione del dispositivo.

Come verificare lo stato del tuo PC in 5 minuti

Prima di farsi prendere dal panico, conviene verificare. Microsoft ha distribuito i certificati 2023 in modo progressivo (Controlled Feature Rollout), dando priorità ai dispositivi identificati come "high-confidence" in base all'identità hardware e ai segnali di telemetria. Non tutti i PC Windows 11 hanno necessariamente già ricevuto l'aggiornamento, ma la maggior parte sì.

Metodo 1: msinfo32 (il più semplice)

Premi Windows + R, digita msinfo32 e premi Invio.
Nel riquadro di sinistra, seleziona Risorse di sistema.
Nel riquadro di destra, cerca la voce "Stato Avvio protetto" (Secure Boot State). Se è "Attivato", Secure Boot è attivo.
Scorri fino a trovare le voci relative ai certificati UEFI. La presenza di riferimenti a "2023" nelle CA indica che la transizione è avvenuta.

Metodo 2: PowerShell (più precisa)

Apri PowerShell come amministratore e incolla il comando per interrogare le variabili EFI, come documentato da IlSoftware.it [ilsoftware.it]:

Get-SecureBootUEFI -Name db

Se l'output mostra certificati con "2023" nel nome, il dispositivo ha completato la transizione. Se compaiono solo certificati "2011", l'aggiornamento non è ancora stato applicato.

Metodo 3: Windows Update

Controlla la cronologia degli aggiornamenti in Impostazioni → Windows Update → Cronologia aggiornamenti. Cerca voci come "Aggiornamento della chiave di scambio delle chiavi consentite per l'avvio protetto" o "Secure Boot Key Exchange Key Update". La presenza di queste voci indica che il sistema ha ricevuto e applicato il pacchetto.

⚠️ Attenzione ai falsi negativi

Alcuni PC richiedono anche un aggiornamento del firmware UEFI da parte del produttore (OEM) per accettare i certificati 2023. Se Windows Update mostra l'aggiornamento installato ma PowerShell non rileva i certificati 2023, il collo di bottiglia è il firmware. In questo caso, visita il sito del produttore (Dell, HP, Lenovo, ASUS, ecc.) e verifica la disponibilità di aggiornamenti BIOS/UEFI recenti. HP, in particolare, sta ancora gestendo problemi di boot loop su alcuni modelli premium a seguito degli aggiornamenti firmware [theregister.com]: procedi con cautela e verifica sempre i forum del produttore prima di aggiornare.

Cosa fare: le vie di remediation

Il percorso da seguire dipende dallo scenario in cui ci si trova. Ecco le tre casistiche principali, ordinate dalla più favorevole alla più critica.

Scenario 1: Windows 11 o Windows 10 con ESU

La strada è relativamente semplice. Su Windows 11, i certificati 2023 vengono distribuiti tramite gli aggiornamenti cumulativi mensili e il rollout è automatico per la maggior parte dei dispositivi. Su Windows Server e Windows 10 con ESU, invece, il deployment non è automatico: gli amministratori IT devono validare la readiness e attivarlo manualmente tramite Group Policy, Intune o registro di sistema [notebookcheck.it].

Cosa fare ora: installare tutti gli aggiornamenti cumulativi disponibili, verificare lo stato con PowerShell, e se il dispositivo non mostra i certificati 2023, controllare la disponibilità di aggiornamenti firmware OEM.

Scenario 2: Windows 10 senza ESU ma con firmware aggiornabile

Qui la situazione è a metà strada. Se il sistema è stato aggiornato fino a ottobre 2025, i certificati 2023 potrebbero essere già presenti nel registro di sistema (chiave AvailableUpdates) in attesa di applicazione da parte dell'attività pianificata. Non c'è garanzia di successo — Microsoft stessa avverte che «il cliente è in ultima analisi responsabile dell'aggiornamento dei certificati» anche sui dispositivi gestiti [support.microsoft.com] — ma la possibilità esiste e va verificata prima di dichiarare il dispositivo irrecuperabile.

In parallelo, alcuni produttori hardware (Dell, Lenovo, HP per i modelli enterprise) hanno incluso i nuovi certificati direttamente negli aggiornamenti firmware. Aggiornare il BIOS/UEFI all'ultima versione disponibile potrebbe risolvere il problema a livello firmware, indipendentemente dallo stato degli aggiornamenti di Windows.

Cosa fare ora: eseguire la verifica PowerShell per controllare se i certificati 2023 risultano già applicati. In caso negativo, verificare se il produttore ha rilasciato aggiornamenti firmware con i certificati 2023. Se nessuna delle due strade funziona, considerare la migrazione a Windows 11 (se l'hardware è compatibile) o la sostituzione del dispositivo.

Scenario 3: Windows 10 fermo a build precedenti e firmware bloccato

È lo scenario peggiore: un sistema che non ha mai ricevuto il pacchetto certificati (Windows 10 non aggiornato a ottobre 2025, senza ESU) e il cui firmware non è più aggiornato dal produttore. Non esiste una via di remediation ufficiale. Il dispositivo continuerà a funzionare, ma sarà permanentemente escluso dalle protezioni future a livello boot.

Cosa fare ora: pianificare la sostituzione. Non necessariamente oggi, ma prima che emergano minacce boot-layer che rendano il rischio inaccettabile. Per le PMI, questo significa inserire il dispositivo nel piano di rotazione hardware con priorità alta.

PMI: un piano d'azione strutturato

Per chi gestisce un parco macchine aziendale, l'approccio consigliato è un rollout a ondate, come documentato dalla guida IT di Microsoft [support.microsoft.com] e dalle guide tecniche di settore [ictpower.it]:

Inventory (oggi): censire tutti i dispositivi con Secure Boot abilitato, annotando versione Windows, stato ESU, presenza dei certificati 2023 (verifica PowerShell), versione firmware e produttore. Strumenti come Intune, SCCM o script PowerShell permettono di automatizzare questa fase.
Pilota (settimana 1-7 giugno): selezionare un campione rappresentativo di dispositivi (diversi modelli, diverse versioni firmware) e applicare gli aggiornamenti, monitorando eventuali anomalie — boot loop, errori di BitLocker, incompatibilità driver.
Deployment esteso (8-23 giugno): una volta validato il pilota, estendere il rollout a tutto il parco macchine, dando priorità ai dispositivi con dati sensibili o esposti a reti non fidate (laptop, postazioni remote).
Verifica post-scadenza (dopo il 24 giugno): rieseguire l'inventory per identificare eventuali dispositivi sfuggiti al deployment e applicare le correzioni necessarie. Microsoft conferma che gli aggiornamenti cumulativi con i certificati 2023 possono essere applicati anche dopo la scadenza, purché il sistema sia in grado di avviare Windows e installare aggiornamenti [support.microsoft.com].

Per le PMI che non dispongono di un reparto IT interno, questo processo può sembrare scoraggiante. La buona notizia è che diversi provider di servizi gestiti offrono assessment rapidi del parco macchine, inclusa l'analisi della configurazione Secure Boot.

Per una protezione più ampia, è utile integrare la verifica con un approccio strutturato alla cybersecurity per PMI, che copra non solo il livello boot ma l'intera superficie di attacco aziendale.

Alternative e limiti: quando Secure Boot non basta (e quando non serve)

Secure Boot è una protezione importante, ma non è l'unica — e in alcuni scenari, non è nemmeno quella decisiva. Vale la pena metterla in prospettiva.

Cosa Secure Boot NON protegge

Attacchi che avvengono dopo l'avvio: una volta caricato il sistema operativo, Secure Boot ha già fatto il suo lavoro. Ransomware, phishing, exploit applicativi e minacce a livello utente non sono nel suo perimetro. Per questi serve un approccio complementare, come illustrato nella guida completa al ransomware 2026.
Firmware compromesso a monte: se il firmware UEFI stesso è stato manomesso (supply chain attack), Secure Boot può essere aggirato alla radice.
Firme rubate: vulnerabilità nell'implementazione di Secure Boot emergono periodicamente quando firme digitali vengono sottratte a fornitori terzi e utilizzate per firmare malware. In questi casi, la protezione dipende dalla tempestività delle revoche DBX — proprio quelle che i dispositivi senza certificati 2023 non riceveranno più.

Quando disabilitare Secure Boot (può aver senso)

Alcuni utenti scelgono deliberatamente di disabilitare Secure Boot per motivi che vanno dalla filosofia del software libero (eseguire codice non firmato, avviare distribuzioni Linux non supportate) a esigenze tecniche specifiche (driver personalizzati, ambienti di sviluppo kernel). È una scelta legittima, ma va presa con consapevolezza: si rinuncia a una protezione concreta contro bootkit e rootkit. Con l'approssimarsi della scadenza dei certificati 2011, chi ha Secure Boot disabilitato non è direttamente toccato dall'evento — ma non lo era nemmeno prima, e resta esposto alle stesse minacce. Microsoft sconsiglia esplicitamente di disabilitare Secure Boot per aggirare la scadenza: «La disabilitazione di Avvio protetto riduce in modo significativo la protezione dei dispositivi, rimuove le misure di sicurezza contro il malware a livello di avvio e può creare nuovi rischi per la sicurezza e la conformità» [support.microsoft.com].

Confronto con approcci alternativi

Nessuna tecnologia singola garantisce la sicurezza della fase di avvio. Ecco un confronto tra le opzioni disponibili per la protezione boot-layer nel 2026:

Protezione	Copertura	Limite principale	Adatta per
Secure Boot	Verifica firma boot loader e driver UEFI	Non protegge dopo l'avvio; dipende dai certificati	Tutti i PC moderni
TPM 2.0 + BitLocker	Cifratura disco con vincolo alla piattaforma	Non impedisce l'esecuzione di codice malevolo, protegge i dati a riposo	Laptop, dispositivi mobili
EDR con visibilità firmware	Monitoraggio runtime delle anomalie boot	Rileva, non previene; richiede SOC	PMI con risorse IT dedicate
Hardware Root of Trust	Catena di fiducia ancorata al silicio	Disponibile solo su hardware enterprise recente	Server, infrastrutture critiche

La scelta migliore è una combinazione: Secure Boot attivo e aggiornato (certificati 2023) come prima linea, TPM con BitLocker per la protezione dei dati, e — per le aziende — un endpoint detection and response (EDR) che monitori le anomalie a runtime. Da soli, i certificati Secure Boot non bastano. Ma senza di essi, si perde il primo anello della catena.

La scadenza del 24 giugno in prospettiva

La transizione dei certificati Secure Boot del 2026 non è un evento catastrofico improvviso. È, piuttosto, un logoramento programmato della superficie di sicurezza. Il rischio reale non è la complessità tecnica — è l'inerzia. I dispositivi continueranno ad avviarsi, e questo rende facile rimandare il problema a data da destinarsi.

Ma la data da destinarsi è già qui. Per chi ha Windows 11 aggiornato, la verifica richiede meno di cinque minuti e l'eventuale remediation è alla portata di qualsiasi utente. Per chi ha Windows 10 aggiornato almeno fino a ottobre 2025, esiste ancora una possibilità concreta che i certificati siano applicabili e vadano solo verificati. Per chi ha Windows 10 fermo a build precedenti, la scadenza del 24 giugno è l'ennesimo segnale — dopo la fine del supporto mainstream, dopo l'aumento degli attacchi ransomware mirati — che rimandare ulteriormente la migrazione sta diventando un rischio concreto, misurabile e, soprattutto, evitabile.

Per le PMI italiane, il messaggio è ancora più chiaro: se nel parco macchine ci sono PC con Windows 10, vanno identificati oggi, classificati in base alla build installata e alla possibilità di aggiornamento firmware, e messi in priorità nel piano di rinnovo hardware. Non perché smetteranno di funzionare domani, ma perché il costo di un incidente di sicurezza a livello firmware — in termini di fermo operativo, ripristino e danno reputazionale — supera di ordini di grandezza il costo della prevenzione.

🛡️ Verifica lo stato dei tuoi dispositivi

La sicurezza della fase di avvio inizia dalla visibilità. Per le PMI che desiderano un assessment dello stato di configurazione Secure Boot sui dispositivi connessi alla rete aziendale, Neomedia mette a disposizione un servizio di verifica tecnica. L'analisi copre la presenza dei certificati 2023, la versione firmware e la compatibilità UEFI, fornendo un quadro chiaro su cui basare le decisioni di remediation. Per chi cerca una protezione più ampia, i servizi di cybersecurity business Neomedia integrano monitoraggio SOC, NGF ed EDR — strumenti che, pur operando a livelli superiori della catena di sicurezza, beneficiano di una base firmware solida e aggiornata. Contatta il team Neomedia per un check dello stato di sicurezza dei tuoi dispositivi prima del 24 giugno.

Cosa imparerai

Windows Secure Boot in scadenza il 24 giugno: 30 giorni per mettere in sicurezza il tuo PC (e quello della tua PMI)