Resumo
- Certificados da Inicialização Segura do Windows 11 expirarão em junho de 2026 e devem ser atualizados para evitar vulnerabilidades;
- Microsoft está atualizando certificados via Windows Update; PCs novos desde 2024 já podem contar com certificados atualizados;
- Windows 11 deve estar na versão 24H2 ou superior para receber atualizações automáticas.
Você vai dizer, com razão, que toda atualização de segurança é importante. Mas esta realmente merece destaque: os certificados da Inicialização Segura (Secure Boot) do Windows 11 expirarão em junho de 2026, portanto, devem ser atualizados até o meio do ano para não causarem transtornos a usuários e organizações.
A Inicialização Segura recebe esse nome por consistir em um recurso que protege o sistema operacional contra malwares e outras ameaças durante o seu carregamento. Para tanto, chaves criptográficas são usadas na verificação de componentes a serem carregados. O objetivo é permitir que apenas softwares confiáveis sejam executados no processo.
Não estamos falando de um recurso novo. O Secure Boot foi introduzido no Windows 8, mas, até o Windows 10, o recurso era opcional. No Windows 11, porém, a proteção faz parte dos requisitos do sistema, podendo até ser desativado, mas via configuração de BIOS/UEFI.
O problema é que, mesmo no Windows 11, versão lançada em 2021, os certificados de segurança são os mesmos que foram emitidos para o Windows 8. São esses certificados que expirarão em junho de 2026.
O que acontecerá se os certificados do Secure Boot expirarem?
Certificados expirados não impedem o funcionamento do Windows 11. Porém, a própria Microsoft alerta que o computador estará mais suscetível a vulnerabilidades e, eventualmente, recursos que dependem da Inicialização Segura podem apresentar problemas:
Se não receber os novos certificados de Inicialização Segura antes de certificados de 2011 [os atuais] expirarem, o computador continuará funcionando normalmente e os softwares existentes continuarão sendo executados. No entanto, o equipamento entrará em um estado de segurança reduzido, que limita a sua capacidade de receber futuras proteções no nível do boot.
À medida que novas vulnerabilidades de inicialização são descobertas, os sistemas afetados ficam cada vez mais expostos, pois não conseguem mais instalar novas mitigações. Com o tempo, isso também pode levar a problemas de compatibilidade, já que sistemas operacionais, firmwares, hardwares ou softwares dependentes do Secure Boot mais recentes podem não ser carregados.
Nuno Costa, diretor de parcerias, serviços e entrega do Windows
Qual a solução para os certificados do Secure Boot?
Instalar certificados novos, como a Microsoft deixou claro. A boa notícia é que você terá pouco ou nenhum esforço para isso: a Microsoft já vem atualizando os certificados da Inicialização Segura do Windows 11 via Windows Update.
Se você comprou um PC nos últimos meses, talvez já esteja livre do problema, pois máquinas novas têm saído de fábrica com certificados atualizados desde 2024.
Para os demais casos, é importante que o Windows 11 esteja na versão 24H2 ou superior para garantir o recebimento da atualização automática via Windows Update. A Microsoft alerta que alguns PCs também poderão precisar de uma atualização de firmware fornecida pelo fabricante.
Ainda de acordo com a Microsoft, o aplicativo Segurança do Windows (ferramenta nativa) exibirá mensagens sobre o status da atualização dos certificados no decorrer dos próximos meses, o que ajudará o usuário a identificar eventuais falhas ou pendências nesse processo.
Mais um detalhe: quem usa o Windows 10 poderá receber a atualização se o PC estiver inscrito no ESU (programa de atualizações de segurança).
Windows 11 precisa de uma importante atualização de segurança até junho
