A Microsoft substitui certificados de Inicialização Segura expirados no Windows 11 – Todos os detalhes e como atualizar o seu.

• A Inicialização Segura impede que malwares de baixo nível comprometam o processo de inicialização do Windows 11.
• Os certificados Secure Boot originais da Microsoft, de 2011, expiram em junho de 2026, e os novos certificados de 2023 estendem a proteção até 2053.
• Dispositivos adquiridos em 2024 e posteriormente provavelmente já possuem os certificados mais recentes. Outros estão recebendo-os gradualmente por meio do Windows Update.
• Você pode verificar o status do seu certificado usando o PowerShell e atualizar os certificados manualmente usando ajustes no Registro e tarefas agendadas, caso as atualizações não tenham chegado automaticamente.

O certificado do módulo Secure Boot do seu PC expira em junho de 2026. A partir da Atualização de Segurança de janeiro de 2026 , a Microsoft iniciou a distribuição gradual de um novo certificado que permitirá que seu computador continue inicializando corretamente e recebendo atualizações de segurança.

No Windows 11 , a Inicialização Segura (Secure Boot) é um recurso de segurança disponível no firmware UEFI (Unified Extensible Firmware Interface) que impede modificações não autorizadas em arquivos críticos do sistema durante a inicialização. Dessa forma, garante-se que o dispositivo seja inicializado usando apenas softwares confiáveis ​​do fabricante.

Em outras palavras, a Inicialização Segura ajuda a proteger seus dispositivos contra malware de baixo nível (como bootkits e rootkits) que podem infectar o processo de inicialização e obter o controle do seu computador antes mesmo do sistema operacional e do software antivírus serem carregados.

Entenda os certificados de Inicialização Segura (Secure Boot).

Como parte do processo, o recurso utiliza chaves criptográficas (conhecidas como autoridades de certificação - ACs) para validar se os módulos de firmware provêm de uma fonte confiável, ajudando a impedir a execução de malware durante os estágios iniciais da inicialização do dispositivo.

Os certificados de Inicialização Segura sempre tiveram datas de expiração, pois ajudam a garantir que seu computador continue recebendo atualizações de segurança e inicializando corretamente. É por isso que você precisa instalar os certificados de 2023 antes que os certificados de Autoridade Certificadora (CA) de 2011 comecem a expirar em junho de 2026.

Se você possui um dispositivo adquirido em 2024 (ou posteriormente), é provável que os certificados mais recentes já estejam instalados. No entanto, para os demais computadores, a Microsoft está implementando os novos certificados de Inicialização Segura por meio do Windows Update.

Na atualização de segurança “2026-01 (KB5074109) (26200.7623)”, lançada em 13 de janeiro de 2026, a gigante do software observou que as atualizações agora incluem um subconjunto de dados de direcionamento de dispositivos de alta confiança que identifica os dispositivos elegíveis para receber automaticamente novos certificados de Inicialização Segura. Os dispositivos receberão os novos certificados somente após demonstrarem sinais suficientes de atualização bem-sucedida, garantindo uma implantação segura e gradual.

Isso significa que você não precisa realizar nenhuma ação manual para atualizar a Inicialização Segura , além de permitir que o sistema continue recebendo atualizações. Pelo menos até que a Atualização de Segurança de junho de 2026 esteja disponível.

Verifique a data de expiração do certificado de Inicialização Segura.

Como você não receberá uma notificação informando que seu computador agora inclui as autoridades de certificação mais recentes, é importante verificar se o seu dispositivo ainda precisa de uma atualização.

O Windows 11 não possui um comando nativo para exibir a data de expiração do firmware em formato legível. No entanto, você pode verificar se possui os certificados "atualizados" de 2023 (que substituem os que expiram em 2026) seguindo estes passos:

Abra o PowerShell (como administrador) e execute:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Verdadeiro: Você possui o novo certificado (válido até 2053).
• Falso: É provável que você ainda esteja com o certificado de 2011 (que expira em 2026).

Verificação do PowerShell sobre a expiração do certificado de Inicialização Segura / Imagem: Mauro Huculak

Quase todas as cadeias de Inicialização Segura modernas dependem dos certificados da Microsoft de 2011, que têm as seguintes datas de expiração :

• Microsoft Corporation KEK CA 2011 (24 de junho de 2026). 
• Microsoft Corporation UEFI CA 2011 (27 de junho de 2026).
• Microsoft Option ROM UEFI CA 2011 (27 de junho de 2026).
• Microsoft Windows Production PCA 2011 (19 de outubro de 2026).

Para referência, eis o que cada certificado faz:

• Certificado KEK: Âncora de confiança que permite a atualização de bancos de dados de assinaturas do Secure Boot (DB/DBX).
• Certificados UEFI CA: Confie nas assinaturas dos carregadores de inicialização e componentes de firmware (incluindo aplicativos EFI de terceiros).
• ROM de opção CA: Confia nos módulos de ROM de opção de firmware.
• Microsoft Windows Production PCA 2011: Garante que o carregador de inicialização do Windows e os binários relacionados sejam confiáveis ​​para o firmware no modo de Inicialização Segura.

Atualizar certificados de Inicialização Segura no Windows 11

Se seus certificados estiverem perto de expirar, a Microsoft e o fabricante do seu computador (OEM) enviarão automaticamente atualizações de firmware ou atualizações "DBX" por meio do Windows Update ou atualizações do sistema para registrar os novos certificados de Autoridade de Certificação (CA) de 2023. No entanto, você pode atualizar manualmente a Inicialização Segura (Secure Boot).

Aviso: Antes de prosseguir, certifique-se de ter uma chave de recuperação do BitLocker salva e que sua BIOS (UEFI) esteja atualizada. Se o firmware do seu computador não for compatível com os novos certificados, o computador poderá não inicializar após a atualização. Também é recomendável criar um backup completo do seu computador antes de prosseguir.

Abra o PowerShell (como administrador) e execute:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Este comando define a chave de registro que instrui o sistema operacional a implantar todos os certificados necessários (incluindo o gerenciador de inicialização assinado pelo PCA 2023).

O valor 0x5944é o código de "mitigação completa" que habilita todas as atualizações de certificado relevantes.

O Windows 11 possui uma tarefa integrada que processa essas alterações de certificado, e você pode acioná-la manualmente para evitar a espera de 12 horas com o seguinte comando:

Iniciar-TarefaAgendada -NomeDaTarefa "\Microsoft\Windows\PI\Secure-Boot-Update"

Atualizações do PowerShell para certificado de Inicialização Segura / Imagem: Mauro Huculak

A atualização normalmente requer duas reinicializações para ser totalmente aplicada. Após a primeira reinicialização, o sistema atualiza o gerenciador de inicialização. Após a segunda, ele finaliza o registro do certificado no banco de dados UEFI.

Após a reinicialização, você pode verificar se o “UEFI CA 2023” está presente no seu banco de dados executando este comando do PowerShell (como administrador):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Verdadeiro: Seu sistema agora está protegido com os novos certificados.
• Falso: Se o resultado continuar falso após várias reinicializações, o firmware da placa-mãe pode estar desatualizado e não aceitar o novo formato de certificado. Verifique o site do fabricante para obter uma atualização de BIOS relacionada à "Inicialização Segura".

Se o BitLocker estiver ativo, você pode precisar desativar a criptografia temporariamente ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) antes que o firmware possa gravar com sucesso as novas chaves no dispositivo.