Os primeiros certificados do Secure Boot, emitidos pela Microsoft em 2011, deixam de valer em 27 de junho de 2026. A substituição das chaves afeta a verificação de inicialização do Windows, mas a maioria dos computadores domésticos receberá o novo pacote de segurança de forma automática.
Certificados de 2011 expiram em 27 de junho de 2026
Quando o Windows 8 estreou, a Microsoft distribuiu certificados que autorizam o carregamento de componentes durante o boot. Essas credenciais tinham prazo de 15 anos e, portanto, expiram no meio de 2026 — exceto a “Microsoft Windows Production PCA 2011”, que dura até 19 de outubro. Sem uma renovação, o sistema não poderia invalidar assinaturas comprometidas nem aprovar novas chaves confiáveis.
Secure Boot: checagem na UEFI antes do Windows iniciar
O Secure Boot faz parte da interface de firmware UEFI. Assim que o PC é ligado, o recurso compara as assinaturas dos arquivos de inicialização com quatro bancos de dados internos: PK, KEK, DB e DBX. A validação bloqueia rootkits e bootkits que tentem se infiltrar antes do carregamento do sistema operacional.
Novas chaves já estão chegando pelo Windows Update
Para o usuário comum, o processo é transparente. A Microsoft emitiu um lote de certificados em 2023, com validade até 2038, e os distribui pelo Windows Update. A atualização foi incluída no patch KB5083769, liberado em abril de 2026 para Windows 11 e versões compatíveis.
Como verificar se o seu computador recebeu os certificados de 2023
- Abra Configurações > Privacidade e segurança.
- Clique em Segurança do Windows e depois em Abrir Segurança do Windows.
- No menu lateral, selecione Segurança do dispositivo.
Se houver um selo verde com a mensagem de que “o Secure Boot está ativo e todos os certificados necessários foram aplicados”, o sistema já está atualizado. Um triângulo amarelo indica suporte parcial; um X vermelho, impossibilidade total de atualização.
Imagem: Goran Damnjanovic
O que fazer se o firmware não suporta atualização automática
Algumas placas-mãe antigas não implementam a lógica necessária para receber chaves via Windows Update. Nesses casos:
- Verifique se o fabricante lançou um firmware que habilite a função.
- Caso não haja update, o Secure Boot continuará operando, mas sem a capacidade de receber revogações ou novas entradas de confiança.
Risco é baixo, mas proteção contra futuras ameaças fica limitada
Mesmo sem as novas chaves, o Windows continuará iniciando normalmente. A diferença é que o computador deixará de receber correções contra malwares que explorem falhas descobertas após 2026. Para a maioria dos usuários domésticos, a probabilidade de ataque na fase de boot é pequena, mas manter o firmware e o sistema operacional atualizados continua sendo a forma mais recomendada de reduzir riscos.
Fonte: howtogeek.com
