Certificados Secure Boot do Windows expiram em junho: o que muda para o seu PC
A Microsoft confirmou que os certificados originais do Secure Boot — tecnologia projetada para proteger PCs contra malware durante o processo de inicialização — estão prestes a expirar em junho de 2026. Essa mudança afeta principalmente dispositivos com firmwares UEFI emitidos a partir de 2011, que dependem desses certificados para validar o sistema durante o boot.
Tabela de conteúdos
Segundo a Microsoft, novos certificados UEFI CA 2023 já estão sendo distribuídos automaticamente via Windows Update para dispositivos compatíveis. Usuários de computadores fabricados a partir de 2024 provavelmente já contam com essa atualização de segurança ou receberam-na embutida de fábrica.
Por que o Secure Boot é tão importante
O Secure Boot é uma camada de proteção integrada ao firmware UEFI, que verifica se todos os softwares de inicialização — incluindo drivers, aplicativos EFI e o próprio sistema operacional — possuem assinaturas digitais válidas. Essa verificação cria uma cadeia de confiança que impede que programas não autorizados sejam carregados antes do Windows.
Sem essa proteção, o sistema fica vulnerável a ameaças conhecidas como bootkits e rootkits de firmware, que agem silenciosamente ainda antes do carregamento completo do sistema operacional. Esses tipos de ataques são difíceis de detectar e podem comprometer o PC de forma permanente.
O que acontece com os PCs que não atualizarem
Dispositivos que continuarem usando os certificados de 2011 funcionarão normalmente e ainda receberão atualizações regulares do Windows. No entanto, eles não terão acesso às proteções mais modernas durante a inicialização do sistema, o que os torna potenciais alvos para malware avançado.
Para evitar riscos, a Microsoft recomenda verificar a compatibilidade via aplicativo Segurança do Windows e manter o firmware do fabricante atualizado. Alguns computadores podem exigir que o usuário instale manualmente a atualização de firmware disponibilizada pelo OEM (por exemplo, Dell, HP, Lenovo ou Asus).
O que a Microsoft explicou sobre o processo
Em uma transmissão no YouTube intitulada “Ask Microsoft Anything”, os engenheiros de segurança Arden White (Engenheiro Principal de Segurança), Scott Shell (Arquiteto de Software) e Richard Powell (Gerente de Engenharia de Grupo) responderam perguntas sobre o tema, explicando o funcionamento do Secure Boot e como garantir a migração para os novos certificados.
Durante o evento, a equipe reforçou que nenhum PC deixará de funcionar imediatamente por não receber os novos certificados. O impacto está restrito à segurança de inicialização. Ainda assim, as máquinas atualizadas estarão mais preparadas para resistir a ameaças de firmware e ataques direcionados.
E os dispositivos com BIOS legado?
Computadores muito antigos, com firmware BIOS tradicional, são incompatíveis com o Secure Boot. Para esses, a atualização será ignorada automaticamente. Já os sistemas que usam o Compatibility Support Module (CSM) para emular BIOS, mas têm suporte UEFI, continuarão elegíveis à atualização normalmente.
Como garantir que seu PC está protegido
- Acesse Configurações > Atualização e Segurança e instale todas as atualizações pendentes.
- Verifique na inicialização da BIOS/UEFI se o Secure Boot está ativado.
- Acesse o aplicativo Segurança do Windows e procure pela seção Integridade do dispositivo.
- Visite o site do fabricante do seu computador para ver atualizações de firmware disponíveis.
“O Secure Boot cria uma base de confiança que impede que o sistema operacional seja corrompido antes mesmo de carregar”, afirmou o engenheiro Arden White durante a transmissão.
Arden White, Microsoft Principal Security Engineer
Consequências práticas da expiração dos certificados
Embora a maioria dos PCs modernos receba os novos certificados automaticamente, o fim da validade dos antigos marca uma transição importante. Isso reforça como o ciclo de segurança digital depende de infraestruturas de confiança renováveis — uma prática comum na indústria para evitar ataques de falsificação e garantir compatibilidade com novas versões do sistema.
Essa renovação também permite que a Microsoft adicione suporte a novas arquiteturas e protocolos de autenticação mais fortes, ajustando o comportamento do sistema bootloader para futuras versões do Windows, em especial o Windows 11 e sucessores.
Perguntas frequentes sobre o Secure Boot
O que acontece se eu não atualizar os certificados do Secure Boot?
Seu computador continuará funcionando, mas ficará vulnerável a ataques em nível de inicialização, sem as proteções adicionais oferecidas pelos certificados UEFI 2023.
Como verificar se meu PC já recebeu os novos certificados?
Abra o aplicativo Segurança do Windows, vá em Integridade do Dispositivo e confira o status do Secure Boot. Se estiver ativo, as chaves provavelmente já foram atualizadas.
Essa atualização afeta o Windows 10?
Sim. Todos os dispositivos suportados com firmware UEFI receberão os novos certificados via Windows Update, independentemente da versão do Windows.
Computadores com BIOS antigo precisam dessa atualização?
Não. Sistemas baseados em BIOS legado não suportam o Secure Boot e não receberão os novos certificados.
O que o Secure Boot realmente protege?
Ele impede que programas maliciosos, bootkits ou rootkits se carreguem antes do sistema operacional, garantindo inicialização apenas com software confiável.
Considerações finais
A expiração dos certificados Secure Boot de 2011 é parte de um movimento natural na evolução da segurança digital. Com o avanço das ameaças baseadas em firmware, a atualização para os certificados UEFI CA 2023 fortalece a base de confiança que mantém milhões de computadores Windows protegidos. Usuários que mantêm o sistema e o firmware atualizados estarão prontos para os novos padrões de segurança e compatibilidade que continuarão sendo aprimorados nas próximas versões do Windows.
