A Microsoft avisou que os certificados originais do Secure Boot, introduzidos em 2011, vão expirar em junho e outubro de 2026, podendo deixar alguns PCs num estado de segurança degradado. A empresa está a lançar atualizações via Windows Update para sistemas suportados, para instalar novos certificados e manter as proteções ao nível do arranque. Os utilizadores de Windows 11 e dispositivos Windows 10 inscritos devem verificar estas atualizações em breve.
O Secure Boot, uma funcionalidade introduzida com o Windows 8 para verificar os carregadores de arranque dos PCs e impedir o carregamento de software não verificado no arranque, tem dependido de certificados desde 2011. Estes certificados vão expirar em junho e outubro de 2026, como destacado num recente artigo de blog da Microsoft por Nuno Costa, gestor de programa na divisão de Servicing and Delivery do Windows. Sem os novos certificados, os dispositivos afetados continuarão a operar normalmente com o software existente, mas entrarão num estado de segurança degradado. Isto limita a sua capacidade de receber proteções futuras ao nível do arranque contra vulnerabilidades recentemente descobertas. Com o tempo, esses sistemas podem enfrentar problemas de compatibilidade com sistemas operativos mais recentes, firmware, hardware ou software dependente do Secure Boot que recorre aos certificados atualizados da era 2023. «Se um dispositivo não receber os novos certificados Secure Boot antes de os certificados de 2011 expirarem, o PC continuará a funcionar normalmente e o software existente manter-se-á a correr», escreveu Costa. Ele acrescentou que a atualização representa «uma renovação geracional da base de confiança em que os PCs modernos dependem no arranque». A Microsoft está a fornecer os novos certificados através do Windows Update para versões suportadas: Windows 11 (versão 24H2 ou 25H2) e dispositivos Windows 10 inscritos no programa Extended Security Updates (ESU). Versões de Windows não suportadas não os receberão. O processo de renovação começa em março de 2026 para utilizadores elegíveis, com muitos sistemas de 2024 e quase todos os de 2025 já a incluírem os certificados no seu firmware. Para verificar se um PC tem os novos certificados, os utilizadores podem executar um comando PowerShell como administrador: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Um resultado «true» indica que a base de dados ativa utiliza o certificado atualizado. Passos adicionais incluem garantir que o Secure Boot está ativado, verificar atualizações de firmware de OEMs como Dell, HP, Lenovo ou Asus e ter uma chave de recuperação BitLocker pronta se a encriptação estiver ativa. Para PCs mais antigos, redefinir as chaves Secure Boot na BIOS pode libertar espaço no NVRAM. A Microsoft colaborou com os principais fabricantes de PCs para preparar esta transição, que descreve como uma prática padrão da indústria para alinhar com padrões de segurança modernos. As organizações de TI foram informadas desde o ano passado e os utilizadores domésticos podem procurar suporte através dos serviços da Microsoft.
