Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais vantagens do ZDNET
- A inicialização segura protege computadores Windows e Linux modernos.
- Os certificados Microsoft Secure Boot de 2011 expiram em junho e outubro de 2026.
- A maioria dos proprietários de PC aceita instalar as atualizações mais recentes.
O fim do suporte do Windows 10 no ano passado foi um grande teste para consumidores e profissionais de TI. Parabéns – todos passaram! Antes de começar a comemorar, fique atento a outra data de validade importante que chegará esta semana. Quatro importantes certificados de segurança da Microsoft estão expirando, sendo que o primeiro expira hoje, 24 de junho de 2026.
A Microsoft tem sido surpreendentemente transparente sobre o que está fazendo para substituir esses certificados antigos, fornecendo orientação tanto para consumidores quanto para empresas. Ele também forneceu uma maneira fácil para qualquer pessoa verificar o status dos certificados usando o utilitário integrado de Segurança do Windows. (Mais sobre isso mais adiante nesta postagem.) Ah, e agora pode ser um bom momento para garantir que você salvou uma cópia da sua chave de recuperação do BitLocker, apenas para garantir.
Este prazo é um pouco mais complicado do que a data de fim do suporte do Windows 10. Para entender o porquê, precisamos falar sobre um recurso básico de segurança encontrado em todos os PCs com Windows projetados e fabricados desde 2011: inicialização segura. Habilitado por padrão em novos PCs vendidos com Windows 10 e Windows 11, esse recurso atua como um gatekeeper, permitindo que apenas software confiável seja executado na inicialização. Se alguém tentar adulterar o sistema operacional ou inicializar a partir de outro dispositivo, o Secure Boot bloqueará essa tentativa.
Além de atualizar seu PC ‘incompatível’ com Windows 10 para Windows 11 – gratuitamente
Todas as versões atualmente suportadas do Windows suportam inicialização segura, assim como um número crescente de distribuições Linux, incluindo Ubuntu, Fedora, Linux Mint, OpenSUSE e muitas outras.
O que acontece com os certificados de inicialização segura?
A inicialização segura depende de uma cadeia de certificados criptográficos que verifica a assinatura de cada componente de inicialização. Um dos certificados mais importantes é a Key Enrollment Key (KEK), às vezes chamada de chave de troca de chaves. Ele reside no firmware UEFI em todos os computadores modernos e funciona com o Trusted Platform Module (TPM) para gerenciar uma lista de bootloaders confiáveis no banco de dados de assinaturas permitidas (DB) e no banco de dados de assinaturas banidas (DBX).
A Autoridade de Certificação de Fabricação (CA) emitida pela Microsoft e os certificados UEFI CA também são essenciais para que a inicialização segura funcione e também devem ser atualizados.
Além disso: a Microsoft está finalmente trazendo uma barra de tarefas móvel para o Windows 11 – aqui está quem pode experimentá-la agora
Se você comprou um computador nos últimos 15 anos, é quase certo que ele possui certificados KEK e UEFI CA emitidos pela Microsoft de 2011, que expiram em junho de 2026. Para atualizar esses certificados, você precisa de acesso à raiz de confiança, uma chave de plataforma gerenciada pelo OEM de hardware.
|
*Microsoft Corporation KEK CA 2011 |
24 de junho de 2026 |
Microsoft Corporation KEK 2K CA 2023 |
Atualizações de assinatura no banco de dados de assinaturas de inicialização segura e no banco de dados de assinaturas revogadas |
|
Produção PCA 2011 do Microsoft Windows |
19 de outubro de 2026 |
Windows UEFI CA 2023 |
Assine o bootloader do Windows |
|
Microsoft UEFI CA 2011* |
27 de junho de 2026 |
Microsoft UEFI CA 2023 |
Assine bootloaders de terceiros e aplicativos EFI |
|
Microsoft UEFI CA 2011* |
27 de junho de 2026 |
ROM de opção da Microsoft UEFI CA 2023 |
Assine ROMs de opções de terceiros |
Tabela adaptada de Expiração do certificado de inicialização segura do Windows e atualizações de CA (Suporte da Microsoft)
* Observação. O Microsoft UEFI CA 2011 foi substituído por duas assinaturas para permitir que as organizações confiem em ROMs opcionais de terceiros sem também confiar em bootloaders de terceiros.
Quando os certificados de inicialização segura expiram, eles não têm mais permissão para testar o software de inicialização. Não é tão terrível quanto parece. Seu computador ainda iniciará e funcionará normalmente, mas não poderá mais receber atualizações do Gerenciador de inicialização do Windows, bancos de dados de inicialização segura, listas de revogação e correções para vulnerabilidades recém-descobertas na cadeia de inicialização.
Você pode desativar a inicialização segura, mas isso significa que talvez não consiga acessar unidades criptografadas com BitLocker sem fornecer uma chave de recuperação.
A Microsoft observa que os cenários que dependem da confiabilidade da inicialização segura (como proteção do BitLocker, integridade do código no nível da inicialização ou carregadores de inicialização e ROMs opcionais de terceiros) também podem ser afetados se exigirem confiabilidade atualizada da inicialização segura.
Em 2023, a Microsoft emitiu substituições para esses certificados de inicialização segura. Mas a natureza do modelo de certificado de inicialização segura é que esses certificados não são fáceis de substituir – se fossem, todos os desenvolvedores de malware no mundo estariam concentrando sua energia exatamente nisso, criando rootkits maliciosos que são executados na inicialização e não são facilmente detectados.
Além disso: a Microsoft corrige 198 bugs do Windows na atualização de junho – e 3 são zero dias
Para se preparar para este evento de extinção em massa, a Microsoft e os seus parceiros de hardware têm trabalhado durante vários anos para coordenar uma série de atualizações globais destinadas a substituir estes certificados desatualizados pela versão 2023. A Microsoft publica orientações para clientes há mais de um ano, começando no início de 2025, e documenta seu progresso postagem no blog no início deste ano:
Nossos parceiros do ecossistema desempenham um papel fundamental na transição para os novos certificados Secure Boot. Os OEMs forneceram certificações atualizadas para novos dispositivos e muitos PCs mais recentes fabricados desde 2024, e quase todos os dispositivos enviados em 2025 já incluirão certificações, não exigindo nenhuma ação dos clientes. Os parceiros OEM também trabalharam em estreita colaboração com nossas equipes de engenharia para garantir que os dispositivos pós-venda possam aplicar atualizações perfeitamente e forneceram orientação para ajudar os clientes a se prepararem para a transição. Como resultado desse esforço conjunto, em breve você verá uma atualização de firmware que traz o núcleo de segurança do seu computador para a era moderna, estendendo a validade dos certificados em uma década ou mais.
Para a maioria das pessoas, esse processo deve ser discreto. Você pode já ter instalado as atualizações necessárias sem perceber. Os administradores corporativos têm uma ampla variedade de ferramentas para monitorar e implantar essas atualizações, todas documentadas Manual de inicialização segura para cliente Windows.
Compilei uma lista de perguntas frequentes junto com respostas confiáveis para esta postagem.
Por que esses certificados expiram?
Quinze anos é muito tempo! Os padrões de segurança evoluem dramaticamente a cada ano e é normal que certificados antigos sejam revogados e substituídos por certificados recém-emitidos que atendam aos padrões de segurança atuais, em vez de se tornarem um ponto de vulnerabilidade.
Meu computador ficou sem certificados de inicialização segura?
Se o seu computador foi projetado e fabricado após 2011, ele inclui certificados de inicialização segura. Todos os dispositivos projetados e fabricados entre 2012 e 2024 foram entregues com certificados de 2011 que expiram em 2026 e devem ser substituídos.
De acordo com a Microsoft, seus parceiros OEM fornecem certificações atualizadas para novos dispositivos desde 2024. Se você tiver um dispositivo relativamente novo, ele já poderá incluir os certificados mais recentes. Os PCs Copilot+ construídos em 2025 ou posteriormente já incluem certificações 2023 e não requerem atualização.
Além disso: Como solucionar problemas de computador de forma eficaz com Copilot ou ChatGPT
Uma atualização recente do Windows 11 permite verificar o status dos certificados de segurança no programa de segurança do Windows. Selecione a página Segurança do dispositivo e observe o título “Inicialização segura”. Se você receber a mensagem “Todos os certificados necessários estão em vigor”, você estará pronto.
Agora você pode usar a Segurança do Windows para verificar o status dos certificados de inicialização segura.
Captura de tela de Ed Bots/ZDNET
Você também pode usar o PowerShell para verificar se o seu computador possui certificados atualizados. Abra uma janela do PowerShell usando credenciais de administrador e copie e cole o seguinte comando na linha de comando do PowerShell:
((System.Text.Encoding)::ASCII.GetString((Get-SecureBootUEFI db).bytes) -corresponde a ‘Windows UEFI CA 2023’)
Se a resposta for Verdadeira, você está informado. Se a resposta for falsa, você precisará atualizar o firmware.
Receberei automaticamente um certificado atualizado?
Se o seu computador for projetado e fabricado por um grande OEM (Lenovo, HP, Dell, ASUS, Surface) e você estiver usando uma versão compatível do Windows, deverá receber automaticamente a atualização necessária.
De acordo com a Microsoft, “Para a maioria dos indivíduos e empresas que permitem que a Microsoft gerencie atualizações de computador, os novos certificados serão instalados automaticamente por meio do processo regular mensal do Windows Update, sem a necessidade de etapas adicionais”.
Além disso: sim, você pode obter o Microsoft 365 gratuitamente – veja como
Essas atualizações estarão disponíveis em quase todos os PCs com Windows 11 e PCs com Windows 10 com assinatura estendida de atualização de segurança. Talvez seja necessária uma atualização de firmware separada do fabricante do seu computador para instalar os certificados atualizados.
Cada OEM possui uma página de status onde você pode verificar informações atualizadas.
Vários desses fabricantes já enviam computadores com ambos os conjuntos de certificações há algum tempo, permitindo que os clientes empresariais escolham quando migrar para as novas certificações.
Computadores especializados, como servidores e dispositivos IoT, podem precisar baixar e instalar uma atualização do fabricante do dispositivo.
O que acontece se eu não atualizar esses certificados?
De acordo com a Microsoft: “Quando a CA de 2011 expirar, os dispositivos Windows que não possuem novos certificados 2023 não poderão mais receber correções de segurança para componentes de pré-inicialização, colocando em risco a segurança de inicialização do Windows…. Sem atualizações, os dispositivos Windows que possuem inicialização segura habilitada podem não receber atualizações de segurança ou confiar em novos carregadores de inicialização, comprometendo a capacidade e a segurança do serviço.”
Eu tenho um Mac. Devo me preocupar com isso?
Não.
Eu tenho um computador rodando Linux. Devo me preocupar com isso?
Se você estiver usando o Windows de inicialização dupla, a Microsoft afirma que atualizará os certificados dos quais o Linux depende.
Se você desinstalou completamente o Windows, talvez não receba as atualizações de segurança mais recentes automaticamente. Você pode entrar em contato com a empresa que construiu seu computador para verificar se há uma atualização manual ou pode desativar a inicialização segura. Além de ver um cadeado vermelho assustador na tela de inicialização, todo o resto funcionará conforme o esperado.
Eu construí meu próprio computador. Onde estão minhas atualizações?
Entre em contato com o fabricante da placa-mãe. Pode haver uma atualização, mas dependendo da idade do computador, o fabricante da placa-mãe pode não oferecê-la. Você pode desligar a inicialização segura e o Windows ainda será iniciado. Se o BitLocker estiver habilitado, pode ser necessário especificar uma chave de recuperação para acessar os dados nesta unidade.
Além disso: como encontrar sua chave de recuperação do BitLocker e manter um backup seguro antes que seja tarde demais
Quando os novos certificados expirarão?
Os certificados de 2023 expiram 15 anos depois, em 2038. A única exceção é o Windows UEFI CA 2023, que expirará em junho de 2035. Isso significa que em menos de dez anos teremos que vivenciar novamente essa dança.
Onde posso obter mais informações ou ajuda?
A página oficial de perguntas frequentes da Microsoft está aqui: Perguntas frequentes sobre a atualização do certificado de inicialização segura. Se você tiver problemas com um computador não gerenciado em casa ou em um pequeno escritório, entre em contato com o fabricante do computador ou com a Microsoft para obter suporte. Os administradores da empresa podem usar canais de suporte comercial.
