Secure Boot è una funzionalità di sicurezza integrata nel firmware UEFI delle schede madri, progettata per garantire che il codice avviato dal firmware sia affidabile.

Secure Boot richiede che ogni binario caricato all’avvio sia convalidato rispetto a chiavi conosciute, situate nel firmware, che denotano fornitori e fonti affidabili.

Questo meccanismo impedisce il caricamento di malware, tra cui rootkit, durante la fase di avvio, proteggendo l’integrità del sistema.

I certificati originali, emessi da Microsoft nel 2011, sono attualmente utilizzati sia da Windows per firmare il proprio bootloader, sia da molte distribuzioni Linux, tramite un componente intermedio denominato shim, che consente di verificare le firme di altri binari UEFI.

Scadenza dei certificati

I certificati originali sono in scadenza nel 2026, con due date chiave:

  • Giugno 2026, scadenza dei certificati primari
  • Ottobre 2026, scadenza dei certificati secondari

Implicazioni principali

  • Nella maggior parte dei casi, i sistemi continueranno ad avviarsi anche dopo la scadenza
  • La maggior parte dei sistemi Windows riceverà i nuovi certificati automaticamente tramite Windows Update. Anche molte distribuzioni Linux distribuiranno gli aggiornamenti tramite i repository ufficiali

Verifica dello stato di Secure Boot

Windows

  • Aprire l’app Windows Security
  • Navigare in Device Security > Secure Boot
  • Verificare il messaggio visualizzato:
1
2
3

"Secure boot is on, preventing malicious software from loading when your device starts up": il sistema è aggiornato.

"Secure boot is on, but your device is using an older boot trust configuration that should be updated": l’aggiornamento è in corso o necessario.

secure-boot-certs-renewed

secure-boot-certs-expiry

In rari casi, l’aggiornamento dei certificati potrebbe causare problemi di avvio. In queste situazioni potrebbe essere necessario un aggiornamento manuale del firmware UEFI della scheda madre.

Linux

Utilizzare i seguenti comandi per verificare lo stato di Secure Boot e i certificati installati:

1
2
3

sudo mokutil --sb-state
sudo mokutil --db
sudo mokutil --kek
  • La maggior parte delle distribuzioni Linux sta già distribuendo i nuovi certificati tramite i propri repository
  • Se gli aggiornamenti automatici non sono disponibili, potrebbe essere necessario l’aggiornamento del firmware UEFI della scheda madre coi seguenti comandi, nel caso di Debian e distribuzioni derivate:
1
2
3
4
5
6

sudo apt update
sudo apt install fwupd
sudo fwupdmgr refresh
sudo fwupdmgr  get-updates
sudo fwupdmgr  get-upgrades
sudo apt upgrade
  • Nel caso, durante l’aggiornamento, si incappasse nell’impossibilitá di aggiornare il pacchetto shim-signed:
1
2
3
4
5
6
7
8
9

```sh
shim-signed: checking if we can safely install /usr/lib/shim/shimx64.efi.signed
Unexpected output from mokutil:
"""
SecureBoot enabled
"""
Please report this as a bug agsinst shim-signed, including the above information.
dpkg: error processing archive /var/cache/apt/archives/shim-signed_1.49+16.1-2_amd64.deb (--unpack):
 new shim-signed:amd64 package preinst maintainer script subprocess failed with exit status 1

  • Rimuovere il pacchetto shim-signed e reinstallarlo. Riprovare ad aggiornare il firmware

  • Al termine dell’aggiornamento, riavviare il computer e verificare lo stato dei certificati:

1
2
3
4
5
6
7
8

```sh
mokutil --sb-state
mokutil --kek
mokutil --db | grep -i -C 5 'after'
            Not After : Jun 27 21:32:45 2026 GMT
            Not After : Oct 19 18:51:42 2026 GMT
            Not After : Jun 13 19:31:47 2038 GMT
            Not After : Oct 26 19:12:20 2038 GMT

Riferimenti