Ciao a tutti e bentornati sul canale !!! Nel 2026 per quello che concerne il mondo Windows scadrà il certificato UEFI CA 2011 e verrà introdotto il nuovo certificato UEFI CA2023 a causa della scoperta della vulnerabilità BlackLotus avvenuta nel 2022.

Quando nel 2026 Microsoft introdurrà su Windows 11 il nuovo boot manager certificato UEFI CA2023 non sarà compatibile con il vecchio certificato CA 2011 presente nel Secure boot, quindi Windows non si avvierà se avete il Secure boot attivo. Per cui oggi vedremo come mettersi in riga in vista del nuovo certificato UEFI CA 2023.

!!! ATTENZIONE !!!
Le procedure mostrate in questa guida sono ufficiali Microsoft, di per sé non sono difficili da eseguire però bisogna prestare molta attenzione a quello che si fa. Procedure eseguite in modo errato potrebbero comportare l’impossibilità ad avviare Windows con il Secure Boot attivo o addirittura anche con il Secure Boot disattivato.
Per chi ha la crittografia Bitlocker o crittografia Windows attiva prima di eseguire le procedure è consigliabile eseguire un backup delle chiavi o meglio ancora disattivare del tutto la crittografia.
Ricordiamo che chi usa Windows 11 con il Secure Boot disattivato e prevede di non attivare il Secure Boot in futuro può anche fare a meno di aggiornare il certificato UEFI infatti Windows 11 richiede che il PC abbia il Secure Boot ma non è obbligatorio che sia attivo.
Facciamo presente che per installare il nuovo certificato UEFI CA2023 è consigliabile fare l’aggiornamento di sicurezza di Luglio 2025 o successivo. Infine su alcuni PC le procedure mostrate in questa guida potrebbero non funzionare, anche se sono rari i casi, quindi non ci assumiamo alcuna responsabilità per le procedure mostrare in questa guida e tantomeno per operazioni eseguite in malo modo.

COME INSTALLARE IL CERTIFICATO UEFI CA2023 NEL SECURE BOOT
-1) Prima di installare il certificato UEFI CA 2023 è meglio controllare che non sia già presente nel Secure Boot altrimenti sarebbe inutile installarlo, per controllare bisogna aprire Powershell con i diritti di amministratore.

-2) Aperto PowerShell si dovrà digitare la seguente riga di comando:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

-3) Digitata la riga di comando premete Invio sulla tastiera, se dovesse comparire True vuol dire che il certificato UEFI CA 2023 è già installato quindi non serve fare altro, mentre se comparisse False significa che il certificato CA 2023 non è installato nel Secure Boot quindi bisogna passare all’installazione.

-4) Per installare il nuovo certificato UEFI CA 2023 sempre all’interno di PowerShell digitate la seguente riga di comando:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

-6) Finito di digitare la riga di comando premete Invio e poi digitate questa nuova riga di comando:

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

-7) Dopodiché premete Invio per confermare, infine chiudete Powershell e riavviate il PC.

-8) Riavviato il PC dovete controllare che il certificato si sia effettivamente installato, per cui aprite PowerShell come amministratore e digitate la stessa riga di comando che avete usato per controllare che il certificato UEFI CA 2023 sia installato:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

-9) Premete Invio e se tutto è filato liscio comparirà True come risultato, quindi il certificato UEFI CA 2023 è stato installato/aggiunto correttamente alle chiavi/certificati del Secure Boot. In ogni caso non crediate che l’operazione sia finita qui perché adesso bisogna installare il nuovo Boot Manager compatibile con il nuovo certificato UEFI.

COME INSTALLARE IL NUOVO BOOT MANAGER COMPATIBILE CON IL CERTIFICATO UEFI CA 2023
-1) Per installare il nuovo boot manager aprite PowerShell come amministratore.

-2) In PowerShell digitate questa riga di comando:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

-3) Premete invio e digitate quest’altra riga di comando:

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

-4) Digitata la riga di comando premete Invio, poi chiudete Powershell e riavviate il PC.

-5) Dopo aver riavviato il PC bisognerà controllare che il nuovo boot manager abbia il certificato UEFI CA 2023, per cui aprite il prompt dei comandi come amministratore.

-6) Aperto il prompt dei comandi digitate la seguente riga di comando per montare la partizione EFI:

mountvol s: /s

-7) Premete invio e digitate questa nuova riga di comando:

copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

-8) Infine premete Invio per confermare il comando e chiudete il prompt dei comandi.

-9) A questo punto aprite esplora file e recatevi nel disco contrassegnato con la lettera C cioè quello principale.

-10) All’interno del disco C fate clic destro sul file bootmgfw_2023.efi e cliccate su proprietà.

-11) In proprietà cliccate in alto su Firme digitali, poi in firme incorporate selezionate Microsoft Windows e cliccate su dettagli.

-12) Qui in Dettagli firma digitale cliccate su Visualizza certificato, poi andate in percorso certificazione e vi comparirà il nuovo certificato CA 2023, quindi ciò si traduce che anche il nuovo Boot Manager è stato installato correttamente ed è compatibile con il nuovo certificato. Per cui si può passare allo step successivo nell’aggiungere il vecchio certificato CA 2011 nella lista dei proibiti.

COME AGGIUNGERE IL VECCHIO CERTIFICATO PCA 2011 NELLA LISTA DEI PROIBITI
-1) Prima di aggiungere il vecchio certificato CA 2011 nella lista dei proibiti vogliamo farvi presente che dopo aver inserito il vecchio certificato nella lista dei proibiti i sistemi operativi Windows e chiavette USB di Windows firmate con il vecchio certificato CA 2011 non si avvieranno più, quindi decidete voi se volete aggiungere il vecchio certificato nella lista dei proibiti.

-2) Per aggiungere il vecchio certificato alla lista dei proibiti aprite PowerShell come amministratore.

3) Aperto PowerShell digitate questa riga di comando per controllare che il vecchio certificato CA 2011 non sia già stato aggiunto alla lista dei proibiti nelle precedenti operazioni, anche se normalmente non viene mai aggiunto in automatico:

[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match ‘Microsoft Windows Production PCA 2011’

-4) Comunque premete Invio e se compare False come risultato vuol dire che il certificato CA 2011 non è presente nella lista dei proibiti, quindi per aggiungerlo digitate questa riga di comando:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

-5) Poi premete invio e digitate la seguente nuova riga di comando:

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

-6) Digitata la riga di comando premete Invio, dopodiché riavviate il PC.

-7) Riavviato il PC aprite PowerShell come amministratore e digitate nuovamente la riga di comando per controllare che il certificato CA 2011 sia presente nella lista dei proibiti.

[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match ‘Microsoft Windows Production PCA 2011’

-8) Premete Invio e se tutto è andato come nei piani prestabiliti vi comparirà True che si traduce che il vecchio certificato UEFI CA 2011 è stato aggiunto correttamente alla lista dei certificati proibiti. In conclusione dopo aver aggiunto il vecchio certificato UEFI c’è un ultimo step del tutto facoltativo e si tratta di aggiungere l’aggiornamento SVN al BIOS/UEFI.

COME AGGIUNGERE L’AGGIORNAMENTO SVN AL BIOS/UEFI (FACOLTATIVO)
Come accennato un attimo fa aggiungere l’aggiornamento SVN all’UEFI è facoltativo, ma tenete presente che in alcuni casi può provocare problemi all’UEFI, noi per evitare problemi ad un componente così delicato del PC abbiamo preferito rinunciare. Teoricamente l’aggiornamento SVN sarebbe meglio che lo facesse il produttore della scheda madre quando rilascia un aggiornamento del BIOS/UEFI con l’SVN aggiornato. In ogni caso se volete fare l’aggiornamento SVN sul sito Microsoft c’è la descrizione completa su come aggiornarlo.

NOTE IMPORTANTI
Prima di lasciarvi dobbiamo darvi alcune dritte importanti, dopo aver aggiornato il Secure Boot con il nuovo certificato UEFI CA 2023 non resettate le chiavi alle impostazioni di fabbrica, tantomeno resettate il BIOS/UEFI soprattutto sulle schede madri più vecchie o fuori supporto. Altrimenti si ripristinerà il vecchio certificato CA 2011 e sarete impossibilitati ad avviare Windows con il Secure boot attivo, in tal caso dovrete scaricare dal sito ufficiale Microsoft le chiavi del certificato UEFI CA 2023, copiarle su una chiavetta formattata FAT 32 e poi aggiungerle/installarle manualmente nella gestione chiavi/certificati del Secure Boot presente nel BIOS/UEFI. Discorso diverso è con le schede madri più nuove prodotte dopo il 2023 perché in questo caso il nuovo certificato UEFI CA 2023 dovrebbe essere già presente nelle chiavi/certificati del Secure Boot, oppure controllate che il produttore della scheda madre abbia fatto un aggiornamento del BIOS/UEFI che includa il nuovo certificato UEFI.
Infine ricordiamo di creare/aggiornare anche le chiavette USB per installare Windows 11 con il nuovo certificato, potete farlo comodamente con Rufus.
Se vi è piaciuta questa guida ricordatevi di mettere Like e iscrivervi al nostro canale YouTube, per noi è molto importante perché ci date una mano a farlo crescere. Grazie.