Su Windows 11 e Windows 10, Microsoft sta gradualmente convalidando e aggiornando i certificati di Secure Boot tramite gli aggiornamenti di sistema standard. Nella maggior parte dei casi, è sufficiente installare gli aggiornamenti di sicurezza mensili per garantire che il dispositivo sia pronto prima della scadenza di giugno 2026.
Tuttavia, se desideri verificare o applicare autonomamente i nuovi certificati Secure Boot 2023, puoi completare la procedura manualmente. Questa guida ti illustra i passaggi necessari.
Secure Boot è una funzionalità di sicurezza a livello di firmware integrata nell'Unified Extensible Firmware Interface (UEFI). Garantisce che un dispositivo si avvii solo con software firmato digitalmente e considerato attendibile da autorità di certificazione approvate. Convalidando i bootloader e i componenti del firmware prima del caricamento del sistema operativo, Secure Boot contribuisce a impedire che rootkit e altri malware di basso livello compromettano il processo di avvio.
Per garantire questa protezione, Secure Boot si basa su chiavi crittografiche note come autorità di certificazione (CA). Queste chiavi stabiliscono una catena di fiducia tra il firmware e il sistema operativo, bloccando il codice non firmato o manomesso durante le prime fasi di avvio.
Analogamente a tutti i certificati digitali, anche le autorità di certificazione Secure Boot hanno una data di scadenza. I certificati originali del 2011 scadranno a giugno 2026. I sistemi devono installare i certificati aggiornati del 2023 prima di tale data per evitare errori di convalida della fiducia, problemi di avvio o potenziali interruzioni nella ricezione di futuri aggiornamenti.
I computer prodotti a partire dal 2024 in genere vengono forniti con i certificati del 2023 già installati. Per l'hardware più vecchio, Microsoft distribuisce i certificati aggiornati tramite Windows Update nell'ambito della manutenzione di sicurezza ordinaria, ma è anche possibile installare e sostituire manualmente i nuovi certificati.
In questa guida , illustrerò i semplici passaggi per verificare e aggiornare manualmente i certificati di avvio protetto (Secure Boot) sul tuo dispositivo Windows 11.
Importante: sebbene si tratti di un processo non distruttivo, si consiglia comunque di effettuare un backup completo del computer prima di procedere. Siete stati avvertiti.
Installa i certificati Secure Boot 2023 su Windows 11
Se BitLocker è attivo, è necessario disabilitare temporaneamente la crittografia in PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) prima che il firmware possa scrivere correttamente le nuove chiavi sul dispositivo. Inoltre, prima di procedere, assicurarsi che il computer sia completamente aggiornato all'aggiornamento di sicurezza di febbraio 2026 (KB5077181) o versione successiva.
Per aggiornare i certificati Secure Boot prima della loro scadenza nel 2026, segui questi passaggi:
Apri Start .
Cerca PowerShell (o Terminale ), fai clic con il pulsante destro del mouse sul primo risultato e scegli l' opzione Esegui come amministratore .
Digita questo comando per confermare che il dispositivo sta utilizzando UEFI con Secure Boot abilitato e premi Invio :
Conferma l'avvio sicuro UEFI
Breve nota: se l'output è "True", puoi procedere con i passaggi seguenti. Altrimenti, dovrai abilitare Secure Boot . Se utilizzi Windows 10, potresti anche dover passare dal BIOS legacy all'UEFI .
Digita questo comando per verificare la data di scadenza dei certificati Secure Boot e premi Invio :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Output 1) Se l'output è "True", hai il nuovo certificato (valido fino al 2053). Fermati e non continuare.
(Output 2) Se l'output è "False", è probabile che si stia ancora utilizzando il certificato del 2011 (in scadenza nel 2026). Continuare con i passaggi seguenti.
Digita questo comando per impostare la chiave di registro per distribuire tutti i certificati necessari e premi Invio :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Digita questo comando per avviare manualmente le modifiche al certificato e premi Invio :
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Riavvia il computer una volta.
Riavvia il dispositivo una seconda volta e continua con la procedura di verifica dei certificati.
Nota: l'aggiornamento in genere richiede due riavvii per essere applicato completamente. Dopo il primo riavvio, il sistema aggiorna il gestore di avvio. Dopo il secondo, finalizza la registrazione del certificato nel database UEFI.
Apri Start .
Cerca PowerShell (o Terminale ), fai clic con il pulsante destro del mouse sul primo risultato e scegli l'opzione Esegui come amministratore.
Digita questo comando per verificare se l'aggiornamento è stato completato correttamente e premi Invio :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Una volta completati i passaggi, se il risultato è "True", i nuovi certificati (validi fino al 2053) sono stati installati correttamente sul computer. Se il risultato è "False", l'installazione dei certificati non è andata a buon fine.
È importante notare che "Vero" conferma l'iscrizione all'autorità di certificazione del 2023, ma non rimuove immediatamente il certificato del 2011 in tutti i casi. Alcuni sistemi potrebbero visualizzarli entrambi temporaneamente.
Se l'output rimane "False" dopo il processo, controlla il Visualizzatore eventi > Registri applicazioni e servizi > Microsoft > Windows > SecureBoot-Update per eventuali errori. Inoltre, verifica che l'attività pianificata esista eseguendo il Get-ScheduledTask -TaskName "Secure-Boot-Update"comando.
Dopo l'aggiornamento, se hai dovuto disabilitare BitLocker, puoi riattivare la crittografia eseguendo il Resume-BitLocker -MountPoint "C:"comando, anche se -RebootCount 2si riattiva automaticamente dopo due riavvii.
È importante notare che i certificati Secure Boot del 2023 non compaiono dal nulla. Microsoft include i nuovi certificati negli aggiornamenti di manutenzione di Windows, solitamente come parte di un aggiornamento cumulativo o di un aggiornamento di sicurezza per Windows 11 e i dispositivi Windows 10 supportati.
In realtà, l'azienda ha iniziato a includere i nuovi certificati Secure Boot sin dal rilascio dell'aggiornamento di sicurezza di febbraio 2026 (e versioni successive).
Questi certificati, noti come Windows UEFI CA 2023, sono firmati digitalmente da Microsoft e considerati attendibili da Secure Boot.
Se i certificati sono già presenti sul computer, queste istruzioni ti aiuteranno ad applicarli immediatamente, senza dover attendere che il sistema elabori automaticamente l'aggiornamento.
Per scaricare l'immagine ISO di Windows 11 24H2 dopo il rilascio della versione 25H2, utilizza UUP Dump per creare un'immagine ISO personalizzata, quindi usa Rufus per creare un'unità USB avviabile per l'installazione.
Utilizza RyTuneX per disabilitare la telemetria, i servizi di tracciamento e la raccolta dati in background di Windows 11 senza modificare il Registro di sistema.
Impedisci a Windows 11 di inviare dati non necessari a Microsoft. Limita la telemetria e proteggi la tua privacy con questi semplici passaggi.
Dopo aver creato una macchina virtuale, è necessario installare VirtualBox Guest Additions su Windows 10 per una migliore usabilità e prestazioni: ecco come fare.
Abilita manualmente le nuove funzionalità dell'aggiornamento di Windows 11 24H2 di luglio 2025 (build 26100.4652, KB5062553) utilizzando ViVeTool per l'accesso anticipato.
È possibile attivare o disattivare rapidamente Desktop remoto e firewall su Windows 10 tramite Prompt dei comandi o PowerShell. Ecco come fare.
È possibile creare una cartella condivisa su VirtualBox per condividere file con un computer Windows 10 (o 11). Ecco i passaggi da seguire per completare l'operazione.
Attiva G-Sync su Windows 11 con schede grafiche Nvidia per ridurre il tearing e lo stuttering. Scopri come configurare G-Sync e VRR per un'esperienza di gioco più fluida.
Abilita manualmente le nuove funzionalità dell'aggiornamento di Windows 11 24H2 di agosto 2025 (build 26100.4770, KB5062660) utilizzando ViVeTool per l'accesso anticipato.
Per limitare la carica della batteria all'80% sui laptop Windows 11, utilizza la modalità MyASUS Battery Care per limitare la carica e migliorare la salute della batteria.
