Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A inicialização segura protege PCs modernos com Home windows e Linux.
- Os certificados Microsoft Safe Boot de 2011 expiram em junho e outubro de 2026.
- A maioria dos proprietários de PC está bem se instalar as atualizações mais recentes.
O prazo remaining do suporte do Home windows 10 do ano passado foi um grande teste para consumidores e profissionais de TI. Parabéns – todos passaram! Antes de começar a comemorar, porém, preste atenção a outra knowledge de validade essential que chegará esta semana. Quatro certificados de segurança cruciais da Microsoft estão expirando, com o primeiro expirando hoje, 24 de junho de 2026.
A Microsoft tem sido surpreendentemente transparente sobre o que está fazendo para substituir esses certificados antigos, com orientações para consumidores e clientes corporativos. Ele também adicionou uma maneira fácil para qualquer pessoa verificar o standing dos certificados, usando o utilitário integrado de Segurança do Home windows. (Mais detalhes sobre isso posteriormente nesta postagem.) Ah, e agora pode ser um bom momento para garantir que você salvou uma cópia de sua chave de recuperação do BitLocker, apenas para garantir.
Este prazo é um pouco mais complicado do que a knowledge de fim do suporte do Home windows 10. Para entender o porquê, precisamos falar sobre um recurso de segurança básico encontrado em todos os PCs com Home windows projetados e construídos desde 2011: inicialização segura. Este recurso, habilitado por padrão em novos PCs vendidos com Home windows 10 e Home windows 11, atua como um gatekeeper, permitindo que apenas software program confiável seja executado na inicialização. Se alguém tentar adulterar o sistema operacional ou inicializar a partir de um dispositivo alternativo, o Safe Boot bloqueará essa tentativa.
Além disso: Como atualizar seu PC ‘incompatível’ com Home windows 10 para Home windows 11 – gratuitamente
Todas as versões atualmente suportadas do Home windows suportam inicialização segura, assim como um número crescente de distribuições Linux, incluindo Ubuntu, Fedora, Linux Mint, OpenSUSE e uma série de outras.
O que está acontecendo com os certificados de inicialização segura?
A inicialização segura depende de uma cadeia de certificados criptográficos que verificam a assinatura de cada componente de inicialização. Um dos certificados mais importantes é a Key Enrollment Key (KEK), que às vezes também é chamada de Key Trade Key. Ele fica no firmware UEFI em todos os PCs modernos e funciona com o Trusted Platform Module (TPM) para gerenciar a lista de bootloaders confiáveis, que estão contidos no banco de dados de assinaturas permitido (DB) e no banco de dados de assinaturas proibido (DBX).
A Autoridade de Certificação de Produção (CA) emitida pela Microsoft e os certificados UEFI CA também são essenciais para a operação da Inicialização Segura e também precisam ser atualizados.
Além disso: a Microsoft está finalmente trazendo a barra de tarefas móvel para o Home windows 11 – aqui está quem pode experimentá-la agora
Se você comprou um PC nos últimos 15 anos, é quase certo que ele contém certificados KEK e UEFI CA emitidos pela Microsoft de 2011, que expiram em junho de 2026. Para atualizar esses certificados, você precisa de acesso à raiz de confiança – a chave da plataforma, que é gerenciada pelo OEM de {hardware}.
|
*Microsoft Company KEK CA 2011 |
24 de junho de 2026 |
Microsoft Company KEK 2K CA 2023 |
Assina atualizações no banco de dados de assinaturas de inicialização segura e no banco de dados de assinaturas revogadas |
|
Produção PCA 2011 do Microsoft Home windows |
19 de outubro de 2026 |
Home windows UEFI CA 2023 |
Assina o carregador de inicialização do Home windows |
|
Microsoft UEFI CA 2011* |
27 de junho de 2026 |
Microsoft UEFI CA 2023 |
Assina carregadores de inicialização de terceiros e aplicativos EFI |
|
Microsoft UEFI CA 2011* |
27 de junho de 2026 |
ROM de opção da Microsoft UEFI CA 2023 |
Assina ROMs de opções de terceiros |
Tabela adaptada de Expiração do certificado de inicialização segura do Windows e atualizações de CA (Suporte da Microsoft)
* Observação: o Microsoft UEFI CA 2011 foi substituído por duas assinaturas, para permitir que as organizações confiem em ROMs opcionais de terceiros sem precisar confiar também em carregadores de inicialização de terceiros.
Quando os certificados de inicialização segura expirarem, eles não terão mais permissão para validar o software program de inicialização. Isso não é tão terrível quanto parece. Seu computador ainda iniciará e operará normalmente, mas não poderá mais receber atualizações do Gerenciador de inicialização do Home windows, bancos de dados de inicialização segura e listas de revogação e correções para vulnerabilidades recém-descobertas na cadeia de inicialização.
Você pode desativar a inicialização segura, mas isso significa que talvez você não consiga acessar discos criptografados usando o BitLocker sem fornecer a chave de recuperação.
A Microsoft ressalta que os cenários que dependem da confiança da inicialização segura (como proteção do BitLocker, integridade do código no nível de inicialização ou carregadores de inicialização e ROMs de opções de terceiros) também podem ser afetados se exigirem confiança de inicialização segura atualizada.
Em 2023, a Microsoft emitiu substitutos para esses certificados de inicialização segura. Mas o ponto principal do modelo de certificado de inicialização segura é que esses certificados não são fáceis de substituir – se fossem, todos os desenvolvedores de malware no mundo estariam concentrando energia em fazer exatamente isso, criando rootkits maliciosos que são executados na inicialização e não podem ser detectados facilmente.
Além disso: os patches da Microsoft registram 198 bugs do Home windows na atualização de junho – e 3 são zero dias
Para se preparar para este evento de extinção em massa, a Microsoft e os seus parceiros de {hardware} têm trabalhado durante vários anos, coordenando uma série world de atualizações destinadas a substituir esses certificados desatualizados pela versão 2023. A Microsoft publica orientações para clientes há mais de um ano, começando no início de 2025, e documentou seu progresso em um postagem no blog no início deste ano:
Nossos parceiros do ecossistema desempenham um papel basic na transição para os novos certificados Safe Boot. Os OEMs têm fornecido certificados atualizados para novos dispositivos e muitos PCs mais recentes construídos desde 2024, e quase todos os dispositivos enviados em 2025 já incluem os certificados e não exigem nenhuma ação dos clientes. Os parceiros OEM também trabalharam em estreita colaboração com as nossas equipas de engenharia para garantir que os dispositivos no mercado possam aplicar as atualizações sem problemas e forneceram as suas próprias orientações para ajudar os clientes a prepararem-se para a transição. Como resultado desse esforço conjunto, em breve você verá uma atualização de firmware que trará o núcleo de segurança do seu computador para a period moderna, adiando as datas de expiração dos certificados em mais uma década ou mais.
Para a maioria das pessoas, esse processo deve ser discreto. Você já deve ter instalado as atualizações necessárias sem perceber. Os administradores corporativos têm uma ampla variedade de ferramentas para monitorar e implantar essas atualizações, todas documentadas no Manual de inicialização segura para cliente Windows.
Para esta postagem, reuni uma lista de perguntas frequentes, juntamente com respostas confiáveis.
Por que esses certificados estão expirando?
Quinze anos é muito tempo! Os padrões de segurança avançam dramaticamente a cada ano, e é regular retirar certificados antigos e substituí-los por certificados recém-emitidos que atendam aos padrões de segurança modernos, em vez de se tornarem um ponto de vulnerabilidade.
Meu PC tem certificados de inicialização segura expirados?
Se o seu computador foi projetado e construído após 2011, ele inclui certificados de inicialização segura. Qualquer dispositivo projetado e construído entre 2012 e 2024 é enviado com certificados de 2011, que expiram em 2026 e devem ser substituídos.
De acordo com a Microsoft, seus parceiros OEM fornecem certificados atualizados para novos dispositivos desde 2024. Se você tiver um dispositivo relativamente novo, provavelmente ele já inclui os certificados mais recentes. Os PCs Copilot+ construídos em 2025 ou posteriormente já incluem os certificados 2023 e não precisam de atualização.
Além disso: Como solucionar problemas do seu PC com Copilot ou ChatGPT – de forma eficaz
Uma atualização recente do Home windows 11 permite verificar o standing de seus certificados de segurança no aplicativo Segurança do Home windows. Escolha a página Segurança do dispositivo e procure no título “Inicialização segura”. Se você vir uma mensagem que diz “todos os certificados necessários foram aplicados”, você está pronto para prosseguir.
Agora você pode usar o aplicativo Segurança do Home windows para verificar o standing dos certificados de inicialização segura.
Captura de tela de Ed Bott/ZDNET
Você também pode usar o PowerShell para verificar se o seu PC possui os certificados atualizados. Abra uma janela do PowerShell usando credenciais de administrador, copie o seguinte comando e cole-o na linha de comando do PowerShell:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Home windows UEFI CA 2023’)
Se a resposta for True, você está atualizado. Se a resposta for False, você precisará de uma atualização de firmware.
Receberei automaticamente um certificado atualizado?
Se o seu PC foi projetado e construído por um grande OEM (Lenovo, HP, Dell, ASUS, Floor) e você estiver executando uma versão compatível do Home windows, deverá receber a atualização necessária automaticamente.
De acordo com a Microsoft, “Para a maioria dos indivíduos e empresas que permitem que a Microsoft gerencie atualizações de PC, os novos certificados serão instalados automaticamente por meio do processo common de atualização mensal do Home windows, sem necessidade de ação adicional”.
Além disso: Sim, você pode obter o Microsoft 365 gratuitamente – veja como
Essas atualizações chegarão em quase todos os PCs com Home windows 11 e em PCs com Home windows 10 com uma assinatura de Atualizações de Segurança Estendidas. Talvez seja necessária uma atualização de firmware separada do fabricante do PC para permitir a instalação dos certificados atualizados.
Cada OEM possui uma página de standing onde você pode verificar informações atualizadas.
Vários desses fabricantes já enviam PCs com ambos os conjuntos de certificados há algum tempo, permitindo que os clientes empresariais escolham quando mudar para os novos certificados.
Para computadores especializados, como servidores e dispositivos IoT, talvez seja necessário baixar e instalar uma atualização do fabricante do dispositivo.
O que acontece se eu não atualizar esses certificados?
De acordo com a Microsoft, “Quando as CAs de 2011 expirarem, os dispositivos Home windows que não possuem novos certificados 2023 não poderão mais receber correções de segurança para componentes de pré-inicialização, comprometendo a segurança de inicialização do Home windows…. Sem atualizações, os dispositivos Home windows habilitados para inicialização segura correm o risco de não receber atualizações de segurança ou confiar em novos carregadores de inicialização, o que comprometerá a capacidade de manutenção e a segurança.”
Eu tenho um Mac. Preciso me preocupar com isso?
Não.
Eu tenho um PC rodando Linux. Preciso me preocupar com isso?
Se você estiver inicializando o Linux com o Home windows, a Microsoft diz que atualizará os certificados dos quais o Linux depende.
Se você limpou o Home windows completamente, talvez não obtenha as atualizações de segurança mais recentes automaticamente. Você pode entrar em contato com a empresa que construiu seu PC para verificar se há uma atualização handbook ou pode desativar a inicialização segura. Além de ver um cadeado vermelho assustador na tela de inicialização, todo o resto funcionará conforme o esperado.
Eu construí meu próprio PC. Onde estão minhas atualizações?
Fale com o fabricante da sua placa-mãe. Pode haver uma atualização, mas dependendo da idade do seu PC, o fabricante da placa-mãe pode não oferecer uma. Você pode desligar a inicialização segura e o Home windows ainda será inicializado. Se o BitLocker estiver habilitado, talvez seja necessário fornecer a chave de recuperação para acessar os dados nesse disco.
Além disso: como encontrar sua chave de recuperação do BitLocker – e salvar uma cópia de backup segura antes que seja tarde demais
Quando os novos certificados expirarão?
Os certificados de 2023 têm datas de validade 15 anos depois, em 2038. A única exceção é o Home windows UEFI CA 2023, que expirará em junho de 2035. Isso significa que teremos que passar por essa dança novamente em menos de uma década.
Onde posso obter mais informações ou ajuda?
A página oficial de perguntas frequentes da Microsoft está aqui: Perguntas Frequentes sobre Atualização do Certificado de Inicialização Segura. Se você tiver problemas em um PC não gerenciado em casa ou em um pequeno escritório, consulte o fabricante do PC ou entre em contato com a Microsoft para obter suporte. Os administradores corporativos podem usar canais de suporte comercial.
