Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A inicialização segura protege PCs modernos com Windows e Linux.
- Os certificados Microsoft Secure Boot de 2011 expiram em junho de 2026.
- A maioria dos proprietários de PC está bem se instalar as atualizações mais recentes.
O prazo final do suporte do Windows 10 do ano passado foi um grande teste para consumidores e profissionais de TI. A boa notícia é que todos passaram! A má notícia é que há outra data de validade crucial chegando.
Cada PC com Windows projetado e construído desde 2011 oferece suporte a um recurso chamado Secure Boot. Esse recurso, que está ativado por padrão em novos PCs vendidos com Windows 10 e Windows 11, atua como um guardião que permite que apenas software confiável seja executado na inicialização. Se alguém tentar adulterar o sistema operacional ou inicializar a partir de um dispositivo alternativo, o Secure Boot bloqueará essa tentativa.
Além disso: Como atualizar seu PC ‘incompatível’ com Windows 10 para Windows 11 – gratuitamente
Todas as versões atualmente suportadas do Windows suportam inicialização segura, assim como um número crescente de distribuições Linux, incluindo Ubuntu, Fedora, Linux Mint, OpenSUSE e uma série de outras.
Como funciona a inicialização segura
A inicialização segura depende de uma cadeia de certificados criptográficos que verificam a assinatura de cada componente de inicialização. Um dos certificados mais importantes é o Key Exchange Key (KEK), que fica no firmware UEFI e funciona com o Trusted Platform Module (TPM) para gerenciar a lista de bootloaders confiáveis, que estão contidos no banco de dados de assinatura permitido (DB) e no banco de dados de assinatura proibido (DBX).
A Autoridade de Certificação de Produção (CA) emitida pela Microsoft e os certificados UEFI CA também são essenciais para a operação da Inicialização Segura e também precisam ser atualizados.
Se você comprou um PC nos últimos 15 anos, é quase certo que ele contém certificados KEK e UEFI CA emitidos pela Microsoft de 2011, que estão programados para expira em junho de 2026. Para atualizar esses certificados, você precisa de acesso à raiz de confiança – a chave da plataforma, que é gerenciada pelo OEM de hardware.
Também: Depois de configurar o Windows 11, essas 9 etapas não são negociáveis para mim
Quando os certificados de inicialização segura expirarem, eles não terão mais permissão para validar o software de inicialização. Seu computador ainda iniciará e operará normalmente, mas não poderá mais receber atualizações do Gerenciador de inicialização do Windows, bancos de dados de inicialização segura e listas de revogação e correções para vulnerabilidades recém-descobertas na cadeia de inicialização.
Você pode desativar a inicialização segura, mas isso significa que não será possível acessar discos criptografados usando o BitLocker sem fornecer a chave de recuperação.
A Microsoft ressalta que os cenários que dependem da confiança da inicialização segura (como proteção do BitLocker, integridade do código de inicialização ou carregadores de inicialização e ROMs opcionais de terceiros) também podem ser afetados se exigirem confiança atualizada da inicialização segura.
Em 2023, a Microsoft emitiu substitutos para esses certificados de inicialização segura. Mas o ponto principal do modelo de certificado de inicialização segura é que esses certificados não são fáceis de substituir – se fossem, todos os desenvolvedores de malware no mundo estariam concentrando energia em fazer exatamente isso, criando rootkits maliciosos que são executados na inicialização e não podem ser detectados facilmente.
Para se preparar para este evento de extinção em massa, a Microsoft e os seus parceiros de hardware têm trabalhado durante vários anos, coordenando uma série global de atualizações destinadas a substituir esses certificados desatualizados pela versão 2023. A Microsoft documentou o progresso em um nova postagem no blog:
Nossos parceiros do ecossistema desempenham um papel fundamental na transição para os novos certificados Secure Boot. Os OEMs têm fornecido certificados atualizados para novos dispositivos e muitos PCs mais recentes construídos desde 2024, e quase todos os dispositivos enviados em 2025 já incluem os certificados e não exigem nenhuma ação dos clientes. Os parceiros OEM também trabalharam em estreita colaboração com as nossas equipas de engenharia para garantir que os dispositivos no mercado possam aplicar as atualizações sem problemas e forneceram as suas próprias orientações para ajudar os clientes a prepararem-se para a transição. Como resultado desse esforço conjunto, em breve você verá uma atualização de firmware que trará o núcleo de segurança do seu computador para a era moderna, adiando as datas de expiração dos certificados em mais uma década ou mais.
Para a maioria das pessoas, esse processo deve ser discreto. Você já deve ter instalado as atualizações necessárias sem perceber.
Para esta postagem, reuni uma lista de perguntas frequentes, juntamente com respostas confiáveis.
Por que esses certificados estão expirando?
Quinze anos é muito tempo. Os padrões de segurança avançam dramaticamente a cada ano, e é normal retirar certificados antigos e substituí-los por certificados recém-emitidos que atendam aos padrões de segurança modernos, em vez de se tornarem um ponto de vulnerabilidade.
Meu PC tem certificados de inicialização segura expirados?
Se o seu computador foi projetado e construído após 2011, ele inclui certificados de inicialização segura. Qualquer dispositivo projetado e construído antes de 2024 provavelmente possui um certificado de 2011, que está prestes a expirar.
De acordo com a Microsoft, seus parceiros OEM fornecem certificados atualizados para novos dispositivos desde 2024. Se você tiver um dispositivo relativamente novo, provavelmente ele já inclui os certificados mais recentes. Os PCs Copilot+ construídos em 2025 ou posteriormente já incluem os certificados 2023 e não precisam de atualização.
Além disso: o OneDrive Backup acaba de passar por uma grande mudança para melhor – como funciona agora
Para ver se o seu PC possui os certificados atualizados, abra uma janela do PowerShell usando credenciais de administrador e copie o seguinte comando e cole-o na linha de comando do PowerShell:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
Se a resposta for True, você está atualizado. Se a resposta for False, você precisará de uma atualização de firmware.
Receberei um certificado atualizado automaticamente?
Se o seu PC foi projetado e construído por um grande OEM (Lenovo, HP, Dell, ASUS, Surface) e você estiver executando uma versão compatível do Windows, deverá receber a atualização necessária automaticamente.
De acordo com a Microsoft, “Para a maioria dos indivíduos e empresas que permitem que a Microsoft gerencie atualizações de PC, os novos certificados serão instalados automaticamente por meio do processo regular de atualização mensal do Windows, sem necessidade de ação adicional”.
Além disso: o Windows 11 tem 1 bilhão de usuários – e eles estão furiosos
Essas atualizações chegarão em quase todos os PCs com Windows 11 e em PCs com Windows 10 com uma assinatura de Atualizações de Segurança Estendidas. Talvez seja necessária uma atualização de firmware separada do fabricante do PC para permitir a instalação dos certificados atualizados.
A Microsoft afirma que entregará mensagens sobre o status de atualização do certificado no aplicativo Segurança do Windows.
Para computadores especializados, como servidores e dispositivos IoT, talvez seja necessário baixar e instalar uma atualização do fabricante do dispositivo.
O que acontece se eu não atualizar esses certificados?
De acordo com a Microsoft, “Quando as CAs de 2011 expirarem, os dispositivos Windows que não possuem novos certificados 2023 não poderão mais receber correções de segurança para componentes de pré-inicialização, comprometendo a segurança de inicialização do Windows…. Sem atualizações, os dispositivos Windows habilitados para inicialização segura correm o risco de não receber atualizações de segurança ou confiar em novos carregadores de inicialização, o que comprometerá a capacidade de manutenção e a segurança.”
Eu tenho um Mac. Preciso me preocupar com isso?
Não.
Eu tenho um PC rodando Linux. Preciso me preocupar com isso?
Se você estiver inicializando o Linux com o Windows, a Microsoft diz que atualizará os certificados dos quais o Linux depende.
Se você limpou o Windows completamente, talvez não obtenha as atualizações de segurança mais recentes automaticamente. Você pode entrar em contato com a empresa que construiu seu PC para verificar se há uma atualização manual ou pode desativar a inicialização segura. Além de ver um cadeado vermelho assustador na tela de inicialização, todo o resto funcionará conforme o esperado.
Eu construí meu próprio PC. Onde estão minhas atualizações?
Fale com o fabricante da sua placa-mãe. Pode haver uma atualização, mas dependendo da idade do seu PC, o fabricante da placa-mãe pode não oferecer uma. Você pode desligar a inicialização segura e o Windows ainda será inicializado. Se o BitLocker estiver habilitado, talvez seja necessário fornecer a chave de recuperação para acessar os dados nesse disco.
Além disso: como encontrar sua chave de recuperação do BitLocker – e salvar uma cópia de backup segura antes que seja tarde demais
Quando os novos certificados expirarão?
Os certificados de 2023 têm datas de validade 15 anos depois, em 2038. A única exceção é o Windows UEFI CA 2023, que expirará em junho de 2035. O que significa que teremos que começar a passar por essa dança novamente em cerca de uma década.
Onde posso obter mais informações ou ajuda?
A página oficial de perguntas frequentes da Microsoft está aqui: Perguntas Frequentes sobre Atualização do Certificado de Inicialização Segura. Se você tiver problemas em um PC não gerenciado em casa ou em um pequeno escritório, consulte o fabricante do PC ou entre em contato com a Microsoft para obter suporte. Os administradores corporativos podem usar canais de suporte comercial.
