Su Windows 11 e Windows 10, Microsoft sta gradualmente convalidando e aggiornando i certificati di Secure Boot tramite gli aggiornamenti di sistema standard. Nella maggior parte dei casi, è sufficiente installare gli aggiornamenti di sicurezza mensili per garantire che il dispositivo sia pronto prima della scadenza di giugno 2026.
Tuttavia, se desideri verificare o applicare autonomamente i nuovi certificati Secure Boot 2023, puoi completare la procedura manualmente. Questa guida ti illustra i passaggi necessari.
Secure Boot è una funzionalità di sicurezza a livello di firmware integrata nell'Unified Extensible Firmware Interface (UEFI). Garantisce che un dispositivo si avvii solo con software firmato digitalmente e considerato attendibile da autorità di certificazione approvate. Convalidando i bootloader e i componenti del firmware prima del caricamento del sistema operativo, Secure Boot contribuisce a impedire che rootkit e altri malware di basso livello compromettano il processo di avvio.
Per garantire questa protezione, Secure Boot si basa su chiavi crittografiche note come autorità di certificazione (CA). Queste chiavi stabiliscono una catena di fiducia tra il firmware e il sistema operativo, bloccando il codice non firmato o manomesso durante le prime fasi di avvio.
Analogamente a tutti i certificati digitali, anche le autorità di certificazione Secure Boot hanno una data di scadenza. I certificati originali del 2011 scadranno a giugno 2026. I sistemi devono installare i certificati aggiornati del 2023 prima di tale data per evitare errori di convalida della fiducia, problemi di avvio o potenziali interruzioni nella ricezione di futuri aggiornamenti.
I computer prodotti a partire dal 2024 in genere vengono forniti con i certificati del 2023 già installati. Per l'hardware più vecchio, Microsoft distribuisce i certificati aggiornati tramite Windows Update nell'ambito della manutenzione di sicurezza ordinaria, ma è anche possibile installare e sostituire manualmente i nuovi certificati.
In questa guida , illustrerò i semplici passaggi per verificare e aggiornare manualmente i certificati di avvio protetto (Secure Boot) sul tuo dispositivo Windows 11.
Importante: sebbene si tratti di un processo non distruttivo, si consiglia comunque di effettuare un backup completo del computer prima di procedere. Siete stati avvertiti.
Installa i certificati Secure Boot 2023 su Windows 11
Se BitLocker è attivo, è necessario disabilitare temporaneamente la crittografia in PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) prima che il firmware possa scrivere correttamente le nuove chiavi sul dispositivo. Inoltre, prima di procedere, assicurarsi che il computer sia completamente aggiornato all'aggiornamento di sicurezza di febbraio 2026 (KB5077181) o versione successiva.
Per aggiornare i certificati Secure Boot prima della loro scadenza nel 2026, segui questi passaggi:
Apri Start .
Cerca PowerShell (o Terminale ), fai clic con il pulsante destro del mouse sul primo risultato e scegli l' opzione Esegui come amministratore .
Digita questo comando per confermare che il dispositivo sta utilizzando UEFI con Secure Boot abilitato e premi Invio :
Conferma l'avvio sicuro UEFI
Breve nota: se l'output è "True", puoi procedere con i passaggi seguenti. Altrimenti, dovrai abilitare Secure Boot . Se utilizzi Windows 10, potresti anche dover passare dal BIOS legacy all'UEFI .
Digita questo comando per verificare la data di scadenza dei certificati Secure Boot e premi Invio :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Output 1) Se l'output è "True", hai il nuovo certificato (valido fino al 2053). Fermati e non continuare.
(Output 2) Se l'output è "False", è probabile che si stia ancora utilizzando il certificato del 2011 (in scadenza nel 2026). Continuare con i passaggi seguenti.
Digita questo comando per impostare la chiave di registro per distribuire tutti i certificati necessari e premi Invio :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Digita questo comando per avviare manualmente le modifiche al certificato e premi Invio :
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Riavvia il computer una volta.
Riavvia il dispositivo una seconda volta e continua con la procedura di verifica dei certificati.
Nota: l'aggiornamento in genere richiede due riavvii per essere applicato completamente. Dopo il primo riavvio, il sistema aggiorna il gestore di avvio. Dopo il secondo, finalizza la registrazione del certificato nel database UEFI.
Apri Start .
Cerca PowerShell (o Terminale ), fai clic con il pulsante destro del mouse sul primo risultato e scegli l'opzione Esegui come amministratore.
Digita questo comando per verificare se l'aggiornamento è stato completato correttamente e premi Invio :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Una volta completati i passaggi, se il risultato è "True", i nuovi certificati (validi fino al 2053) sono stati installati correttamente sul computer. Se il risultato è "False", l'installazione dei certificati non è andata a buon fine.
È importante notare che "Vero" conferma l'iscrizione all'autorità di certificazione del 2023, ma non rimuove immediatamente il certificato del 2011 in tutti i casi. Alcuni sistemi potrebbero visualizzarli entrambi temporaneamente.
Se l'output rimane "False" dopo il processo, controlla il Visualizzatore eventi > Registri applicazioni e servizi > Microsoft > Windows > SecureBoot-Update per eventuali errori. Inoltre, verifica che l'attività pianificata esista eseguendo il Get-ScheduledTask -TaskName "Secure-Boot-Update"comando.
Dopo l'aggiornamento, se hai dovuto disabilitare BitLocker, puoi riattivare la crittografia eseguendo il Resume-BitLocker -MountPoint "C:"comando, anche se -RebootCount 2si riattiva automaticamente dopo due riavvii.
È importante notare che i certificati Secure Boot del 2023 non compaiono dal nulla. Microsoft include i nuovi certificati negli aggiornamenti di manutenzione di Windows, solitamente come parte di un aggiornamento cumulativo o di un aggiornamento di sicurezza per Windows 11 e i dispositivi Windows 10 supportati.
In realtà, l'azienda ha iniziato a includere i nuovi certificati Secure Boot sin dal rilascio dell'aggiornamento di sicurezza di febbraio 2026 (e versioni successive).
Questi certificati, noti come Windows UEFI CA 2023, sono firmati digitalmente da Microsoft e considerati attendibili da Secure Boot.
Se i certificati sono già presenti sul computer, queste istruzioni ti aiuteranno ad applicarli immediatamente, senza dover attendere che il sistema elabori automaticamente l'aggiornamento.
La nuova funzionalità "Trasferisci su un nuovo PC" dell'OOBE di Windows 11 25H2 consente di migrare file e impostazioni durante la configurazione utilizzando la rete locale senza OneDrive.
L'aggiornamento KB5064093 (build 26200.5761) per Windows 11 viene distribuito con la funzionalità di ripristino delle app Android, una nuova icona della batteria nella schermata di blocco, aggiornamenti dell'agente AI e correzioni.
La build 27774 di Windows 11 introduce la funzionalità di protezione amministratore e modifiche al programma di installazione di Windows quando si lavora con le partizioni.
Per scaricare il file ISO di Windows 8.1, apri la pagina di download di Microsoft, seleziona l'edizione, la lingua e fai clic sul pulsante di download.
Per creare una chiavetta USB avviabile con Windows 8.1, puoi utilizzare strumenti di terze parti come Rufus e Ventoy oppure il prompt dei comandi. Ecco come fare.
Per scaricare il file ISO di Windows 11 25H2 per architettura arm64, apri la pagina di download ufficiale, seleziona ISO per Arm64, la lingua e fai clic su Scarica.
Windows 11 consente di rimuovere la password di accesso a un account tramite l'applet netplwiz o le impostazioni delle opzioni di accesso. Ecco come fare.
Quali PC riceveranno Windows Recall? Solo i PC Copilot+, ovvero i PC Windows 11 esistenti senza una NPU di 40+ TOPS, non riceveranno la funzionalità AI.
22 gennaio 2026 – Microsoft 365 subisce un'importante interruzione di servizio in Nord America, che compromette l'utilizzo di Teams, Outlook, OneDrive e altri servizi per gli utenti.
Per trovare le specifiche di un PC con Windows 11, apri Impostazioni > Sistema > Informazioni e verifica CPU, RAM, tipo di sistema, versione del sistema operativo e altro ancora.
