A Microsoft substitui certificados de Inicialização Segura expirados no Windows 11 – Todos os detalhes e como atualizar o seu.

  • A Inicialização Segura impede que malwares de baixo nível comprometam o processo de inicialização do Windows 11.
  • Os certificados Secure Boot originais da Microsoft, de 2011, expiram em junho de 2026, e os novos certificados de 2023 estendem a proteção até 2053.
  • Dispositivos adquiridos em 2024 e posteriormente provavelmente já possuem os certificados mais recentes. Outros estão recebendo-os gradualmente por meio do Windows Update.
  • Você pode verificar o status do seu certificado usando o PowerShell e atualizar os certificados manualmente usando ajustes no Registro e tarefas agendadas, caso as atualizações não tenham chegado automaticamente.

O certificado do módulo Secure Boot do seu PC expira em junho de 2026. A partir da Atualização de Segurança de janeiro de 2026 , a Microsoft iniciou a distribuição gradual de um novo certificado que permitirá que seu computador continue inicializando corretamente e recebendo atualizações de segurança.

No Windows 11 , a Inicialização Segura (Secure Boot) é um recurso de segurança disponível no firmware UEFI (Unified Extensible Firmware Interface) que impede modificações não autorizadas em arquivos críticos do sistema durante a inicialização. Dessa forma, garante-se que o dispositivo seja inicializado usando apenas softwares confiáveis ​​do fabricante.

Em outras palavras, a Inicialização Segura ajuda a proteger seus dispositivos contra malware de baixo nível (como bootkits e rootkits) que podem infectar o processo de inicialização e obter o controle do seu computador antes mesmo do sistema operacional e do software antivírus serem carregados.

 

Entenda os certificados de Inicialização Segura (Secure Boot).

Como parte do processo, o recurso utiliza chaves criptográficas (conhecidas como autoridades de certificação - ACs) para validar se os módulos de firmware provêm de uma fonte confiável, ajudando a impedir a execução de malware durante os estágios iniciais da inicialização do dispositivo.

Os certificados de Inicialização Segura sempre tiveram datas de expiração, pois ajudam a garantir que seu computador continue recebendo atualizações de segurança e inicializando corretamente. É por isso que você precisa instalar os certificados de 2023 antes que os certificados de Autoridade Certificadora (CA) de 2011 comecem a expirar em junho de 2026.

Se você possui um dispositivo adquirido em 2024 (ou posteriormente), é provável que os certificados mais recentes já estejam instalados. No entanto, para os demais computadores, a Microsoft está implementando os novos certificados de Inicialização Segura por meio do Windows Update.

Na atualização de segurança “2026-01 (KB5074109) (26200.7623)”, lançada em 13 de janeiro de 2026, a gigante do software observou que as atualizações agora incluem um subconjunto de dados de direcionamento de dispositivos de alta confiança que identifica os dispositivos elegíveis para receber automaticamente novos certificados de Inicialização Segura. Os dispositivos receberão os novos certificados somente após demonstrarem sinais suficientes de atualização bem-sucedida, garantindo uma implantação segura e gradual.

Isso significa que você não precisa realizar nenhuma ação manual para atualizar a Inicialização Segura , além de permitir que o sistema continue recebendo atualizações. Pelo menos até que a Atualização de Segurança de junho de 2026 esteja disponível.

Verifique a data de expiração do certificado de Inicialização Segura.

Como você não receberá uma notificação informando que seu computador agora inclui as autoridades de certificação mais recentes, é importante verificar se o seu dispositivo ainda precisa de uma atualização.

O Windows 11 não possui um comando nativo para exibir a data de expiração do firmware em formato legível. No entanto, você pode verificar se possui os certificados "atualizados" de 2023 (que substituem os que expiram em 2026) seguindo estes passos:

Abra o PowerShell (como administrador) e execute:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Verdadeiro: Você possui o novo certificado (válido até 2053).
  • Falso: É provável que você ainda esteja com o certificado de 2011 (que expira em 2026).

A Microsoft substitui certificados de Inicialização Segura expirados no Windows 11 – Todos os detalhes e como atualizar o seu.

Verificação do PowerShell sobre a expiração do certificado de Inicialização Segura / Imagem: Mauro Huculak

Quase todas as cadeias de Inicialização Segura modernas dependem dos certificados da Microsoft de 2011, que têm as seguintes datas de expiração :

  • Microsoft Corporation KEK CA 2011 (24 de junho de 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 de junho de 2026).
  • Microsoft Option ROM UEFI CA 2011 (27 de junho de 2026).
  • Microsoft Windows Production PCA 2011 (19 de outubro de 2026).

Para referência, eis o que cada certificado faz:

  • Certificado KEK: Âncora de confiança que permite a atualização de bancos de dados de assinaturas do Secure Boot (DB/DBX).
  • Certificados UEFI CA: Confie nas assinaturas dos carregadores de inicialização e componentes de firmware (incluindo aplicativos EFI de terceiros).
  • ROM de opção CA: Confia nos módulos de ROM de opção de firmware.
  • Microsoft Windows Production PCA 2011: Garante que o carregador de inicialização do Windows e os binários relacionados sejam confiáveis ​​para o firmware no modo de Inicialização Segura.

Atualizar certificados de Inicialização Segura no Windows 11

Se seus certificados estiverem perto de expirar, a Microsoft e o fabricante do seu computador (OEM) enviarão automaticamente atualizações de firmware ou atualizações "DBX" por meio do Windows Update ou atualizações do sistema para registrar os novos certificados de Autoridade de Certificação (CA) de 2023. No entanto, você pode atualizar manualmente a Inicialização Segura (Secure Boot).

Aviso: Antes de prosseguir, certifique-se de ter uma chave de recuperação do BitLocker salva e que sua BIOS (UEFI) esteja atualizada. Se o firmware do seu computador não for compatível com os novos certificados, o computador poderá não inicializar após a atualização. Também é recomendável criar um backup completo do seu computador antes de prosseguir.

Abra o PowerShell (como administrador) e execute:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Este comando define a chave de registro que instrui o sistema operacional a implantar todos os certificados necessários (incluindo o gerenciador de inicialização assinado pelo PCA 2023).

O valor 0x5944é o código de "mitigação completa" que habilita todas as atualizações de certificado relevantes.

O Windows 11 possui uma tarefa integrada que processa essas alterações de certificado, e você pode acioná-la manualmente para evitar a espera de 12 horas com o seguinte comando:

Iniciar-TarefaAgendada -NomeDaTarefa "\Microsoft\Windows\PI\Secure-Boot-Update"

A Microsoft substitui certificados de Inicialização Segura expirados no Windows 11 – Todos os detalhes e como atualizar o seu.

Atualizações do PowerShell para certificado de Inicialização Segura / Imagem: Mauro Huculak

A atualização normalmente requer duas reinicializações para ser totalmente aplicada. Após a primeira reinicialização, o sistema atualiza o gerenciador de inicialização. Após a segunda, ele finaliza o registro do certificado no banco de dados UEFI.

Após a reinicialização, você pode verificar se o “UEFI CA 2023” está presente no seu banco de dados executando este comando do PowerShell (como administrador):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Verdadeiro: Seu sistema agora está protegido com os novos certificados.
  • Falso: Se o resultado continuar falso após várias reinicializações, o firmware da placa-mãe pode estar desatualizado e não aceitar o novo formato de certificado. Verifique o site do fabricante para obter uma atualização de BIOS relacionada à "Inicialização Segura".

Se o BitLocker estiver ativo, você pode precisar desativar a criptografia temporariamente ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) antes que o firmware possa gravar com sucesso as novas chaves no dispositivo.

Deixar um comentário

A Microsoft afirma que algo grande está a caminho do Windows 11.

A Microsoft afirma que algo grande está a caminho do Windows 11.

A Microsoft anunciará uma grande novidade para o Windows 11 na quinta-feira, sugerindo que uma experiência com foco em voz e inteligência artificial estará presente no sistema operacional.

Como criar um USB inicializável do Windows 11 para hardware não suportado

Como criar um USB inicializável do Windows 11 para hardware não suportado

Instalando o Windows 11 em hardware não compatível? Aprenda os passos para criar um USB inicializável com o Rufus ou Ventoy para contornar as restrições de TPM e Inicialização Segura.

Como forçar a atualização para o Windows 11 25H2 a partir da versão 24H2

Como forçar a atualização para o Windows 11 25H2 a partir da versão 24H2

Para atualizar do Windows 10 24H2 para o 25H2, use a opção "Baixar e instalar" no Windows Update ou instale a atualização KB5054156 manualmente.

A versão 26300.7674 (KB5074170) para Windows 11 foca em correções de bugs, não em novos recursos (Dev)

A versão 26300.7674 (KB5074170) para Windows 11 foca em correções de bugs, não em novos recursos (Dev)

(KB5074170) A versão 26300.7674 do Windows 11 é lançada para os participantes do programa Insider com correções para o Explorador de Arquivos, Menu Iniciar, Pesquisa, problemas gráficos e bugs conhecidos.

Como ativar o BitLocker no Windows 11

Como ativar o BitLocker no Windows 11

Para ativar o BitLocker no Windows 11, abra as configurações de armazenamento, configurações do BitLocker e habilite o recurso. Unidades removíveis usam o BitLocker To Go.

Como encontrar a chave de recuperação do BitLocker no Windows 11

Como encontrar a chave de recuperação do BitLocker no Windows 11

Para encontrar a chave de recuperação do BitLocker do seu PC no Windows 11 (ou 10), acesse sua conta Microsoft online e confirme a recuperação na página Dispositivos.

Como criar um USB inicializável do Windows 11 (ou 10) a partir do macOS

Como criar um USB inicializável do Windows 11 (ou 10) a partir do macOS

Criar um instalador USB para Windows 11 (ou 10) a partir do macOS é surpreendentemente complicado, mas não é impossível. Veja como fazer.

O suporte para o Microsoft Edge no Windows 10 terminará em outubro de 2028.

O suporte para o Microsoft Edge no Windows 10 terminará em outubro de 2028.

O Microsoft Edge no Windows 10 continuará recebendo atualizações até pelo menos outubro de 2028, muito depois do fim oficial do suporte ao sistema operacional em 2025.

Como restaurar o menu de contexto clássico no Windows 11

Como restaurar o menu de contexto clássico no Windows 11

No Windows 11, para restaurar o menu de contexto clássico que aparece ao clicar com o botão direito do mouse, com todas as opções disponíveis, você pode editar essa chave no Registro do Windows ou através do CMD (Central de Comando).

Como se livrar da Linha do Tempo do Facebook (O jeito mais fácil)

Como se livrar da Linha do Tempo do Facebook (O jeito mais fácil)

Depois de um tempo, passei a gostar da nova Linha do Tempo do Facebook, mas esse não é o caso de muitos de vocês. No passado, havia outras maneiras de se virar.