In alcune situazioni, ad esempio dopo aggiornamenti di sicurezza critici, cambi di hardware o problemi di compatibilità con driver, può essere utile verificare lo stato dei certificati secure boot e, se necessario, forzarne l'aggiornamento via linea di comando.
Attenzione alla scadenza dei certificati Secure Boot
Microsoft ha annunciato che i certificati originali usati per Secure Boot (come quelli del 2011) inizieranno a scadere a partire da giugno 2026. Se un sistema non dispone dei certificati aggiornati, non potrà più ricevere aggiornamenti di sicurezza o fidarsi di firme future. Per questo motivo è importante verificare non solo che l'avvio protetto sia abilitato, ma anche che i certificati correnti siano aggiornati e correttamente installati.Prerequisiti
Prima di procedere, bisogna assicurarsi che:
- il sistema utilizzi UEFI (non BIOS legacy);
- l'avvio protetto sia abilitato nel firmware;
- i comandi vengano eseguiti come Amministratore;
- Windows sia Windows 10 o Windows 11.
in caso contrario... non c'è bisogno di far niente.
Se invece siamo costretti a lavorare... iniziamo con PowerShell e:
Confirm-SecureBootUEFI
i possibili risultati sono:
- True → l'avvio protetto è attivo;
- False → l'avvio protetto è disattivato;
- Errore → il sistema non usa UEFI (olé).
Questo comando non verifica i certificati in dettaglio, ma è un prerequisito fondamentale.
Uno strumento di sistema che verifica parzialmente lo stato dei database correlati all'avvio protetto è `msinfo32`. Una volta avviato bisogna controllare le voci:
- "Modalità BIOS", deve essere UEFI;
- "Stato avvio protetto", Attivo.
Verificare lo stato dell'aggiornamento dei certificati Microsoft
Microsoft distribuisce aggiornamenti ai database secure boot (in particolare dbx, la lista di revoca) tramite Windows Update. Per verificare se il sistema ha applicato gli aggiornamenti più recenti, possiamo ricorrere a PowerShell:
Get-HotFix | Where-Object {$_.Description -like "*Security*"}
Gli aggiornamenti secure boot più rilevanti (come quelli legati alle vulnerabilità dei bootloader) vengono spesso distribuiti come aggiornamenti di sicurezza cumulativi, quindi non sono sempre immediatamente riconoscibili (!) come riguardanti l'avvia protetto.
Questo significa che non esiste un KB "magico" da cercare. L'aggiornamento dei certificati avviene come parte del normale ciclo di patch di sicurezza di Windows.
Forzare l'aggiornamento dei certificati Secure Boot
Il metodo consigliato e supportato rest Windows Update. È la strada più sicura. Dalla riga di comando:
wuauclt /detectnow
wuauclt /updatenow
Sulle versioni più recenti di Windows, è preferibile:
usoclient StartScan
usoclient StartDownload
usoclient StartInstall
Dopo l'installazione, riavviare il sistema: gli aggiornamenti ai database UEFI vengono applicati solo durante il boot.
Verificare eventuali errori legati a Secure Boot
Se si sospettano problemi con certificati o revoche, si può controllare il registro eventi (eventvwr.msc) in particolare visualizzando:
Registri applicazioni e servizi
└── Microsoft
└── Windows
└── Secure-Boot
Errori o avvisi in questa sezione possono indicare bootloader bloccati, firme non valide o conferme dell'avvenuto aggiornamento del database `dbx`.
La scadenza dei certificati, cosa controllare davvero
Windows non fornisce un comando diretto per elencare i certificati UEFI con data di scadenza, perché questi risiedono nel firmware. Tuttavia è possibile verificare se il sistema è già pronto per i nuovi certificati tramite controlli indiretti.
Un primo indizio utile è la versione del boot manager (`bootmgfw.efi`), che viene aggiornata solo se il sistema è pronto ad usare i nuovi certificati:
Get-Item "C:\Windows\Boot\EFI\bootmgfw.efi" | Select-Object VersionInfo
Bisogna osservare `ProductVersion`, `FileVersion` e `Data di compilazione`.
Versioni aggiornate tramite patch di sicurezza dal 2023 in poi indicano che il sistema è compatibile con i certificati più recenti.
Microsoft sta distribuendo gli aggiornamenti in più fasi, proprio per evitare sistemi non avviabili. Un sistema che non riceve più aggiornamenti o è fermo a build molto vecchie rappresenta un segnale critico.
Un ultimo dettaglio pratico: gli aggiornamenti al secure boot possono richiedere la chiave BitLocker al riavvio. È normale e previsto (cambia la "catena di fiducia" del boot). Prima di procedere assicurarsi sempre di avere la chiave di ripristino BitLocker disponibile.