Certificados de segurança do seu PC podem estar prestes a expirar – veja como verificar

Entendendo a Expiração das Certificações Secure Boot

O Secure Boot é uma funcionalidade que protege os computadores modernos que operam com Windows e Linux. As certificações da Microsoft relacionadas ao Secure Boot, emitidas em 2011, terão seu prazo de validade em junho de 2026. Para a maioria dos proprietários de PCs, a instalação das atualizações mais recentes deverá ser suficiente para evitar problemas.

Recentemente, tivemos um prazo importante com o fim do suporte ao Windows 10, que foi um grande teste tanto para consumidores quanto para profissionais de TI. A boa notícia é que todos conseguiram se adequar! Contudo, um novo vencimento crítico se aproxima.

Desde 2011, todos os PCs com Windows foram projetados para suportar o Secure Boot, que está ativado por padrão em novos dispositivos vendidos com Windows 10 e Windows 11. Essa funcionalidade atua como um guardião, permitindo apenas a execução de software confiável durante a inicialização. Caso alguém tente interferir no sistema operacional ou dê boot a partir de um dispositivo alternativo, o Secure Boot impede essa ação.

Como Funciona o Secure Boot

O Secure Boot opera por meio de uma cadeia de certificados criptográficos que verificam cada componente durante a inicialização para assegurar que estejam devidamente assinados. Um dos certificados mais importantes é a Chave de Troca de Chaves (KEK), armazenada na firmware UEFI, que trabalha juntamente com o Módulo de Plataforma Confiável (TPM) para gerenciar a lista de carregadores de inicialização confiáveis, mantida nas bases de dados de assinaturas autorizadas (DB) e proibidas (DBX). As certificações da Autoridade Certificadora (CA) da Microsoft e as CA do UEFI também são fundamentais para o funcionamento do Secure Boot e precisam ser atualizadas. Se você adquiriu um PC nos últimos 15 anos, é muito provável que ele contenha as certificações KEK e UEFI CA da Microsoft de 2011, que expiram em junho de 2026. Para atualizar essas certificações, é necessário acessar a raiz de confiança — a Chave de Plataforma, que é gerenciada pelo fabricante do hardware.

O Impacto da Expiração das Certificações

Com o vencimento das certificações do Secure Boot, elas não poderão mais validar o software de inicialização, o que significa que seu sistema operacional instalado pode não conseguir ser iniciado. Você pode desativar o Secure Boot, mas isso impede o acesso a discos que estejam criptografados com o BitLocker. Em 2023, a Microsoft começou a emitir substituições para essas certificações do Secure Boot. Contudo, a essência do modelo de certificação é que essas certificações não são simples de substituir; caso contrário, todos os desenvolvedores de malware estariam concentrados em criar rootkits maliciosos que operam na inicialização e são difíceis de detectar.

Para se preparar para essa situação, a Microsoft e seus parceiros de hardware têm trabalhado durante anos, coordenando uma série global de atualizações para substituir as certificações ultrapassadas pelas de 2023. Em um recente comunicado, a Microsoft destacou que os parceiros do ecossistema desempenham um papel crítico nesta transição. Os fabricantes de equipamentos originais (OEMs) estão provisionando as certificações atualizadas em novos dispositivos, e muitos PCs fabricados desde 2024, bem como quase todos os dispositivos enviados em 2025, já incluem essas certificações, sem necessidade de ação do cliente.

Atualizações e Perguntas Frequentes

Para a maioria dos usuários, esse processo deve ser bastante discreto. É possível que você já tenha instalado as atualizações necessárias sem perceber. Aqui estão algumas perguntas frequentes que foram elaboradas junto com suas respostas:

Por que essas certificações estão expirando? Quinze anos é um longo período. As normas de segurança evoluem significativamente a cada ano, e é comum aposentar certificados antigos e substituí-los por novas emissões que atendam aos padrões modernos de segurança, evitando que se tornem um ponto de vulnerabilidade.

Meu PC tem certificações Secure Boot que estão expirando? Se seu computador foi projetado e construído após 2011, ele inclui certificações do Secure Boot. Regulando essa alteração, qualquer dispositivo que foi projetado e fabricado antes de 2024 provavelmente possui um certificado de 2011, que está prestes a expirar.

Vou receber uma certificação atualizada automaticamente? Se seu PC foi fabricado por um OEM de grande porte (Lenovo, HP, Dell, ASUS, Surface) e você está utilizando uma versão Windows suportada, a atualização necessária deve ser instalada automaticamente. A Microsoft afirma que, para a maioria dos indivíduos e empresas que permitem que a empresa gerencie atualizações de PC, as novas certificações serão instaladas através do processo regular de atualização mensal do Windows, sem que ação adicional seja necessária.

O que acontece se eu não atualizar essas certificações? De acordo com a Microsoft, quando as certificações de 2011 expirarem, dispositivos Windows que não tenham as novas certificações de 2023 não poderão mais receber correções de segurança para componentes de pré-inicialização, comprometendo a segurança do boot do Windows.

Preciso me preocupar se tiver um Mac? Não.

E quanto a um PC que roda Linux? Se você faz dual boot com Linux e Windows, a Microsoft garantiu que atualizará as certificações que o Linux utiliza. Caso tenha excluído completamente o Windows, talvez não receba as últimas atualizações de segurança automaticamente.

E se eu tiver um PC montado por mim? Fale com a empresa que fabricou sua placa-mãe. Pode haver uma atualização, mas dependendo da idade do seu PC, a empresa pode não oferecer suporte.

Onde posso encontrar mais informações ou ajuda? A página oficial de perguntas frequentes da Microsoft sobre esse assunto está disponível para consulta. Se você tiver problemas em um PC não gerenciado numa casa ou pequeno escritório, consulte o fabricante do PC ou entre em contato com a Microsoft para obter suporte.

Referência: kyoshino/E+/Getty Images