Windows Secure Boot 2026: Microsoft emite último aviso sobre certificados que estão expirando

A Microsoft já começou a distribuir a cadeia de certificados Secure Boot de substituição que o Windows precisará quando os certificados originais de 2011 começarem a expirar em junho de 2026. O Notebookcheck abordou recentemente o aviso da Microsoft e os sinais de implementação antecipada que aparecem nas atualizações cumulativas recentes, mas a próxima fase tem menos a ver com o Windows e mais com a prontidão do firmware.

Se o firmware UEFI do seu PC não estiver preparado para aceitar e reter os novos certificados 2023, o Windows Update poderá tentar fazer a transferência e ainda assim deixar o dispositivo preso no que a Microsoft descreve como um estado de segurança degradado, no qual as futuras atualizações de segurança relacionadas à inicialização poderão não ser aplicadas de forma limpa.

O que realmente está expirando e quando?

As âncoras de confiança de longa duração da Microsoft Secure Boot de longa duração da Microsoft, de 2011, começam a expirar no final de junho de 2026, com expirações adicionais mais tarde em 2026. O detalhamento da Dell é uma das linhas de tempo públicas mais claras, listando a primeira data de expiração do certificado de 2011 como 24 de junho de 2026 (Microsoft Corporation KEK CA 2011), seguida por 27 de junho de 2026 (Microsoft Corporation UEFI CA 2011) e outro certificado de chave que expira em 19 de outubro de 2026 (Microsoft Windows Production PCA 2011).

Na prática, vários fornecedores fazem eco ao mesmo resultado final: espera-se que os sistemas continuem sendo inicializados, mas os dispositivos que não fizerem a transição para a cadeia de certificados da era 2023 podem perder a capacidade de receber atualizações futuras do carregador de inicialização e da inicialização segura, que é de onde vem o termo "segurança degradada".

A parte da Microsoft: O Windows pode fornecer a nova cadeia de confiança, mas somente se o firmware cooperar

O principal facilitador técnico já está nas versões compatíveis do Windows. O KB5036210 da Microsoft observa que as atualizações do Windows lançadas a partir de 13 de fevereiro de 2024 incluem a capacidade de aplicar o certificado UEFI CA 2023 do Windows ao banco de dados de assinaturas permitidas para inicialização segura UEFI (db) e que a atualização do db é necessária para receber futuras atualizações do gerenciador de inicialização por meio de atualizações mensais.

A Microsoft também afirma que "a maioria dos dispositivos Windows pessoais" deve receber os novos certificados automaticamente por meio de atualizações gerenciadas pela Microsoft, mas adverte explicitamente que alguns dispositivos podem exigir uma atualização de firmware do OEM para aplicar os novos certificados corretamente.

Onde os OEMs entram: Chaves ativas versus chaves padrão e por que as redefinições podem prejudicá-lo

É aqui que a política de firmware do fornecedor é mais importante do que a maioria dos usuários domésticos imagina. As perguntas frequentes sobre a transição de inicialização segura da Dell distinguem entre o banco de dados de inicialização segura ativa (o que o sistema realmente impõe na inicialização e o que o Windows Update geralmente modifica) e o banco de dados de inicialização segura padrão (o conjunto de redefinição de fábrica, normalmente atualizado por meio de flash do BIOS). A Dell também alerta que determinadas ações de firmware, como a ativação do "Expert Key Mode", podem apagar as variáveis ativas provenientes do Windows Update se o banco de dados padrão não tiver sido atualizado adequadamente.

Esse mesmo documento da Dell também descreve uma "estratégia de certificado duplo", dizendo que a Dell começou a enviar certificados de 2011 e 2023 em plataformas recém-lançadas no final de 2024 e expandiu essa abordagem em plataformas sustentáveis enviadas pelas fábricas até o final de 2025.

A própria orientação da Lenovo para PCs comerciais enquadra a correção de forma semelhante como uma atualização do BIOS que adiciona os certificados 2023 às variáveis padrão do Secure Boot, com etapas adicionais às vezes necessárias para ativar as variáveis 2023 em sistemas que ainda não estão pré-configurados. Ele também aponta a recuperação do BitLocker como um possível efeito colateral, razão pela qual o backup das chaves de recuperação antes das alterações de firmware continua sendo uma boa prática.

A assessoria da HP também afirma que tem trabalhado com a Microsoft para preparar os produtos HP habilitados para Secure Boot para os novos certificados e adverte que o certificado não pode ser usado para a recuperação do BitLocker para os novos certificados e adverte que a expiração do certificado pode impedir que os sistemas recebam atualizações de segurança relacionadas ao Secure Boot e ao Windows Boot Manager, aumentando a exposição a ameaças do tipo bootkit.

O problema das placas-mãe DIY e para jogos: às vezes é preciso "instalar chaves padrão" por conta própria

A ASUS é um dos poucos fornecedores voltados para o consumidor que publicou um guia passo a passo altamente processual para essa transição, incluindo como confirmar se as novas entradas 2023 estão presentes no firmware e o que fazer se não estiverem.

Em seu FAQ de suporte https://www.asus.com/support/faq/1055903/a ASUS descreve como navegar pelo gerenciamento de chaves de inicialização segura UEFI e verificar se o KEK inclui "Microsoft Corporation KEK 2K CA 2023" e se o db inclui "Windows UEFI CA 2023" (juntamente com outras entradas da Microsoft da era 2023). Ele também documenta as etapas de correção, como "Install Default Secure Boot Keys" (Instalar chaves de inicialização segura padrão) ou "Restore Factory Keys" (Restaurar chaves de fábrica) após a atualização do BIOS, o que efetivamente repovoa os bancos de dados de chaves do armazenamento padrão do firmware.

Essa é a lacuna que tende a afetar mais os sistemas DIY: o Windows pode fornecer atualizações, mas o firmware da placa-mãe ainda pode exigir intervenção manual antes que as novas chaves estejam totalmente presentes e ativas.

Como verificar a prontidão usando os sinais oficiais da Microsoft

Para frotas gerenciadas por TI, o manual da Microsoft Secure Boot da Microsoft descreve indicadores concretos que o senhor pode monitorar.

A Microsoft diz que uma implementação bem-sucedida pode ser confirmada por meio da auditoria das entradas do Log de Eventos do Sistema Windows para o ID de Evento 1808, e que as falhas na aplicação de certificados atualizados estão associadas ao ID de Evento 1801. O mesmo manual também faz referência à chave de registro UEFICA2023Status que, em última análise, deve ser "Updated" (Atualizado), e observa que uma chave UEFICA2023Error não deve existir, a menos que haja um erro pendente.

O manual também recomenda explicitamente a aplicação de atualizações de firmware do OEM antes das atualizações do Windows relacionadas à inicialização segura se a sua organização tiver identificado problemas ou se o OEM recomendar uma atualização do BIOS, o que reforça o tema geral: o lado do Windows é apenas metade da história.

O caso extremo do Windows 10 "zumbi" ainda é real

Por fim, a atualização do certificado é outro ponto de pressão para os que não querem usar o Windows 10. A própria documentação de suporte da Microsoft afirma que o suporte ao Windows 10 terminou em 14 de outubro de 2025, e a Microsoft posiciona as atualizações de segurança estendidas (ESU) do Windows 10 como o caminho pago para continuar a receber atualizações de segurança após essa data.

A orientação de inicialização segura da Microsoft também reitera que os dispositivos em versões não suportadas do Windows não recebem atualizações do Windows, e é por isso que a transferência Secure Boot está efetivamente vinculada à permanência em um caminho de manutenção com suporte (ou ESU para Windows 10, quando aplicável).