- Certificados de Secure Boot emitidos pela Microsoft, usados desde 2011, expiram em junho de 2026; a atualização costuma ocorrer automaticamente para a maioria dos dispositivos.
- Dispositivos mais novos, especialmente com Windows 11, já devem vir com certificados atualizados desde 2024, minimizando impactos para usuários comuns.
- É possível verificar o status pelo app Windows Security, na tela de Device Security sob “Secure boot”; também é possível usar PowerShell para confirmar se o certificado 2023 está aplicado.
- Se não houver atualização, pode ser necessária uma atualização de firmware fornecida pelo fabricante do PC; algumas máquinas exigem ação manual de OEM para instalar os novos certificados.
- Em caso de manter o Secure Boot desativado, discos criptografados com BitLocker podem exigir chave de recuperação para acesso; os certificados 2023 devem vencer em 2038, com exceção do Windows UEFI CA 2023, que expira em junho de 2035.
O Secure Boot, recurso de segurança que acompanha PCs desde 2011, depende de certificados para validar o software de inicialização. Em junho de 2026 expiram certificados da Microsoft usados na cadeia de confiança, o que pode exigir atualizações no firmware dos dispositivos. A atualização é realizada por fabricantes e pela própria Microsoft, para manter o boot seguro.
A maioria dos PCs recentes já vem com certificados atualizados desde 2024, graças a ações conjuntas entre Microsoft e hardware partners. A troca evita falhas de segurança no processo de inicialização, prevenindo alterações não autorizadas no sistema.
O objetivo é evitar brechas que permitam malware rodar no momento do boot. Caso as atualizações não sejam aplicadas, componentes de boot, listas de confiança e mecanismos de revogação podem deixar de receber correções de segurança.
O que está mudando
A expiração dos certificados 2011 envolve a Key Exchange Key (KEK) e certificados UEFI. Esses itens ficam no firmware e, quando não atualizados, podem impedir a validação de bootloaders confiáveis. O Windows Boot Manager também pode deixar de receber atualizações.
Caso ocorra a expiração, o PC ainda liga, mas a atualização de componentes de boot, bancos de dados de segurança e listas de revogação pode ficar indisponível. Em alguns cenários, a desativação do Secure Boot exige a recuperação da chave do BitLocker.
Quem está envolvido
Fabricantes de PCs (OEMs) como Dell, HP, Lenovo, ASUS e Microsoft trabalham na transição para certificados 2023. Em dispositivos recentes, a atualização já pode ter chegado via Windows Update. Em alguns casos, pode ser necessária uma atualização de firmware específica.
Empresas e usuários que gerenciam PCs corporativos devem ficar atentos às páginas de suporte dos fabricantes para orientações. No Windows, a verificação de status pode ser feita no app Segurança do Windows.
Quando e onde
A expiração dos certificados 2011 está prevista para junho de 2026. A transição tem sido acelerada desde 2023 com a adoção de certificados 2023. A maior parte dos dispositivos vendidos desde 2024 já deve estar com a certificação atualizada.
Para dispositivos específicos, como servidores ou IoT, pode haver necessidade de atualizações adicionais fornecidas pelos fabricantes. Em geral, usuários domésticos com Windows 10/11 devem receber as correções automaticamente.
Por que isso importa
Atualizações automáticas via Windows Update facilitam o processo para a maioria dos usuários. Sem a atualização, o suporte a correções de segurança em pré-boot pode ser comprometido, elevando o risco de vulnerabilidades no boot.
O objetivo é manter a integridade do sistema desde a inicialização, evitando ataques que explorem falhas no processo de boot. Em cenários com BitLocker ativo, a atualização de certificados é crucial para não perder o acesso aos dados.
Como verificar e agir
Usuários com Windows 11 podem checar o status no app Segurança, na seção Dispositivo → Segurança do Boot. A mensagem all required certificates have been applied indica atualização efetiva. Também é possível usar PowerShell com o comando específico para confirmar a presença do certificado 2023.
Se o certificado ainda não estiver atualizado, pode ser necessário instalar uma atualização de firmware fornecida pelo fabricante. Em PCs montados pelo usuário, o suporte do fabricante da placa-mãe é o canal recomendado.
Entre na conversa da comunidade