A Microsoft está substituindo os certificados do Secure Boot que muitos PCs Windows confiam desde 2011. Duas dessas autoridades certificadoras antigas começam a expirar em junho de 2026, e o certificado de boot do Windows vem depois, em outubro de 2026.

Isso parece um cronômetro preso a todo PC. Não é exatamente assim. A Microsoft diz que um estado de certificado sem suporte não deve fazer um PC comum parar instantaneamente de iniciar em 1º de junho de 2026. O risco mais realista é mais silencioso, mas ainda importante: um PC que perde a atualização dos certificados de 2023 pode deixar de ser elegível para futuras proteções de boot inicial, atualizações de segurança do Boot Manager, revogações e mudanças em mídia de recuperação.

Então a atitude certa não é pânico. É verificar agora, atualizar com segurança e evitar quebrar o próprio caminho de recuperação.

Resposta rápida

Faça isto primeiro

Instale atualizações do Windows, reinicie e confira a Segurança do Windows

A maioria dos dispositivos Windows domésticos com suporte deve receber os certificados Secure Boot de 2023 pelo Windows Update. Depois de atualizar, abra Segurança do Windows > Segurança do dispositivo > Secure Boot e leia o texto de status, não só a cor do ícone.

PC doméstico
Normalmente atualize e verifiqueMantenha o Windows atualizado, reinicie quando solicitado e confira a tela de status dos certificados.
PC de trabalho
Não corrija por conta própriaSe o dispositivo é gerenciado por empregador ou escola, deixe a TI controlar a implantação.
Pequeno escritório
Inventarie antes de forçar algoSalve chaves BitLocker, atualize firmware, faça piloto por modelo e monitore status/eventos da Microsoft.
Hardware antigo
Firmware importaSe o fabricante nunca adicionou suporte aos certificados de 2023, o Windows talvez não consiga resolver sozinho.

Não desative Secure Boot como “correção”. Não redefina chaves do Secure Boot nem force revogações a menos que saiba exatamente o motivo e tenha mídia de recuperação que ainda inicia.

Meu PC vai parar de funcionar em junho de 2026?

Para a maioria dos PCs com Windows 10/11 com suporte e PCs com Windows 11, a resposta deve ser não. A Microsoft descreve a expiração dos certificados de 2026 como uma transição de segurança e manutenção, não como uma data universal de falha de boot.

O risco depende do que o PC precisa fazer depois que os certificados antigos expirarem:

Baixo risco

Um PC Windows 11 com suporte, que recebe Windows Update normalmente, tem firmware recente, Secure Boot ativado e Segurança do Windows dizendo que todas as atualizações de certificados necessárias foram aplicadas.

Precisa de atenção

PC sem reiniciar há meses, com BIOS/UEFI antigo, usando BitLocker, dependendo de mídia USB de recuperação antiga ou mostrando status amarelo/vermelho de certificados do Secure Boot.

Alto risco

Frotas gerenciadas, desktops customizados antigos, Windows 10 sem suporte, ambientes PXE/WinPE, dual boot, VMs ou máquinas cujo firmware OEM não aceita as atualizações de confiança de 2023.

A versão enganosa da história é “PCs Windows vão virar peso de papel quando os certificados expirarem”. A versão útil é: seu PC pode continuar iniciando, mas a cadeia de confiança do boot inicial precisa sair dos certificados de 2011 e ir para os de 2023 se você quer que a proteção futura do Secure Boot continue funcionando.

Publicidade

Verifique seu PC em 5 minutos

Comece pelas verificações seguras. Elas não alteram bancos de dados do Secure Boot, chaves de firmware nem estado do BitLocker.

1. Instale atualizações do Windows e reinicie

Abra Configurações > Windows Update, instale atualizações de segurança/cumulativas disponíveis e reinicie quando solicitado. A Microsoft está entregando a atualização dos certificados do Secure Boot pelo serviço normal para muitos dispositivos com suporte.

Se você costuma adiar reinícios, este é um daqueles casos em que adiar pode esconder o estado real. Várias etapas de atualização do Secure Boot exigem reinicialização antes de o próximo status aparecer.

É o mesmo princípio básico de manutenção de segurança: mantenha o caminho de confiança atualizado antes de precisar dele. Se estiver revisando toda a configuração, trate sistema, firmware, roteador, contas e mídia de recuperação como partes do mesmo hábito de atualização, não como tarefas isoladas.

2. Abra a tela de status do Secure Boot

Abra Segurança do Windows, depois Segurança do dispositivo e Secure Boot.

Procure o texto da mensagem. A Microsoft alerta que um ícone verde sozinho não basta; o estado totalmente atualizado precisa de uma formulação indicando que as atualizações de certificados necessárias e o Boot Manager atualizado foram aplicados.

Se a Segurança do Windows disser que há atualizações pendentes, instale atualizações do Windows e reinicie de novo. Se disser que o dispositivo precisa de firmware ou ação do fabricante, vá à página de suporte do fabricante antes de tentar correções de registro.

3. Confirme que Secure Boot está ativado

Pressione Win + R, digite msinfo32 e abra Informações do Sistema.

Confira estas linhas:

CampoO que você querO que significa
Modo BIOSUEFISecure Boot depende de boot UEFI, não de boot BIOS legado.
Estado da Inicialização SeguraAtivadoSecure Boot está ativo.
Configuração PCR7Normalmente Associação possível ou AssociadoContexto útil para criptografia do dispositivo/BitLocker, mas não uma checagem completa de status de certificado.

Essa tela confirma o estado do Secure Boot. Ela não prova que todos os certificados de 2023 estão instalados.

4. Verificação opcional no PowerShell

Abra o PowerShell como administrador e execute:

Confirm-SecureBootUEFI

True significa que Secure Boot está ativado. False significa que está desligado. Um erro normalmente significa que o comando não consegue ler Secure Boot UEFI naquela plataforma.

Isso ajuda, mas ainda não conta a história inteira. A prontidão de certificados é melhor verificada pela tela de status da Segurança do Windows, valores de status administrativos da Microsoft e logs de eventos.

Qual caminho combina com você?

PC doméstico com Windows 11
Atualize, reinicie, verifiqueUse Windows Update e Segurança do Windows. Atualize BIOS/UEFI pelo OEM apenas se Windows ou fabricante disserem que firmware é necessário.
PC com Windows 10
Confira o status de suporte primeiroO Windows 10 chegou ao fim do suporte em 14 de outubro de 2025, a menos que esteja em Extended Security Updates. Sistemas sem suporte são um lugar fraco para depender de manutenção futura do Secure Boot.
Máquina Windows 7
Trate como projeto de risco legadoNão espere que a atualização de certificados Secure Boot de 2026 a salve. Planeje migração, isolamento ou substituição com suporte.
Notebook de empresa ou escola
Pergunte à TI antes de mudar chavesDispositivos gerenciados podem ocultar notificações de Secure Boot por política e usar ferramentas de implantação em fases.
Desktop customizado
Confira notas de BIOS da placa-mãeProcure termos como Windows UEFI CA 2023 em notas da ASUS, MSI, Gigabyte, ASRock ou do fabricante da placa.
Dual boot ou Linux
Atualize os dois ladosMantenha Windows, firmware e pacotes de boot/shim da distribuição Linux atualizados. Não revogue confiança antiga amplamente até saber que o caminho não Windows está pronto.
Frota pequena de escritório
Faça piloto por grupo de hardwareSalve chaves de recuperação do BitLocker, inventarie firmware, teste modelos representativos e então implante monitorando eventos.

O que está realmente expirando?

Secure Boot é um sistema de confiança no nível do firmware. Antes de o Windows iniciar, o firmware UEFI verifica se componentes iniciais de boot são assinados por autoridades certificadoras confiáveis. Esses bancos de confiança ficam no firmware/NVRAM, não apenas em uma pasta do Windows.

Mapa simplificado:

Diagrama mostrando firmware UEFI usando KEK, DB e DBX para verificar o Windows Boot Manager antes da inicialização.
Secure Boot é uma cadeia de decisões de confiança do firmware, não apenas uma configuração do Windows.

Os certificados antigos de 2011 estão sendo substituídos pelos de 2023:

FinalidadeCertificado antigoSubstitutoPressão de expiração
Autoriza atualizações do banco de dados do Secure BootMicrosoft Corporation KEK CA 2011Microsoft Corporation KEK 2K CA 2023Junho de 2026
Confia no Windows Boot ManagerMicrosoft Windows Production PCA 2011Windows UEFI CA 2023Outubro de 2026
Confia em apps/loaders UEFI de terceirosMicrosoft UEFI CA 2011Microsoft UEFI CA 2023Junho de 2026
Confia em option ROMs, como componentes de boot de firmware de alguns dispositivosMicrosoft UEFI CA 2011Microsoft Option ROM UEFI CA 2023Junho de 2026

A estrutura de 2023 é mais granular. Em vez de uma CA UEFI antiga cobrindo vários trabalhos, a Microsoft separa melhor a confiança para boot do Windows, apps EFI de terceiros e option ROMs.

Publicidade

Por que BlackLotus e KB5025885 aparecem tanto

Você verá duas histórias relacionadas misturadas:

  1. A atualização de certificados de 2026. Autoridades certificadoras antigas do Secure Boot estão expirando, então PCs precisam da cadeia de confiança de 2023.
  2. CVE-2023-24932 / reforço contra BlackLotus. A Microsoft também prepara revogações e mudanças no Boot Manager para bloquear bootloaders assinados vulneráveis usados por bootkits.

Elas se conectam porque ambas tocam bancos de confiança do Secure Boot e assinaturas do Boot Manager. Mas não são a mesma tarefa.

A diferença prática importa. Verificar certificados de 2023 é uma etapa sensata para usuários domésticos. Forçar revogações DBX ou mitigações empresariais via registro sem preparação pode quebrar mídia WinRE, WinPE, PXE, ambientes de recuperação ou dual boot antigos. A Microsoft ainda documenta o processo de revogação da CVE-2023-24932 separadamente, e o calendário de aplicação permanente deve ser tratado como controlado pela Microsoft, não adivinhado.

O que não fazer

Não desative Secure Boot e chame isso de solução

Isso esconde o problema de status e enfraquece a proteção antes do boot.

Não redefina chaves do Secure Boot casualmente

Alguns firmwares antigos podem não incluir os certificados de 2023 por padrão. Redefinir chaves depois que o Windows muda para um Boot Manager assinado em 2023 pode criar problema de boot.

Não force revogações primeiro em uma frota de produção

WinRE, WinPE, PXE, USBs de instalação e loaders de dual boot antigos podem falhar se ainda dependem de componentes assinados em 2011 e revogados.

Não ignore o BitLocker

Salve chaves de recuperação antes de trabalho com firmware ou Secure Boot. Se uma mudança acionar recuperação, você não quer descobrir que a chave sumiu.

BitLocker, mídia de recuperação e instaladores USB

BitLocker e Secure Boot são próximos. Isso é bom para segurança, mas significa que mudanças de firmware e confiança de boot podem acionar uma tela de recuperação.

Antes de alterar BIOS/UEFI, redefinir chaves do Secure Boot ou aplicar manutenção administrativa do Secure Boot, salve sua chave de recuperação do BitLocker. Em muitos PCs com Windows 11, o caminho é Configurações > Privacidade e segurança > Criptografia do dispositivo > Criptografia de unidade BitLocker.

Ou entre na página de chaves de recuperação da sua conta Microsoft se é assim que o dispositivo armazena a chave.

Em pequenos escritórios, exporte e valide as chaves antes do piloto, não depois do primeiro reboot.

A mídia de recuperação é a outra armadilha. Um USB de instalação do Windows, imagem WinRE, pendrive WinPE ou imagem de boot PXE criado antes da transição do Boot Manager de 2023 pode não iniciar depois que certas revogações forem aplicadas. Admins devem reconstruir ou atualizar mídia de recuperação com ferramentas atuais de manutenção do Windows antes de uma implantação ampla. Usuários domésticos devem recriar mídia de recuperação/instalação com ferramentas atuais da Microsoft em vez de manter um USB antigo como único resgate.

Firmware OEM: quando o fabricante importa

O Windows Update entrega muita coisa, mas os bancos do Secure Boot vivem no firmware. Se o firmware não aceita as atualizações certas, o Windows pode relatar estado bloqueado ou limitado.

Para notebooks e desktops de grandes OEMs:

FabricantePróximo passo prático
DellConfira Dell Update/SupportAssist e a página de suporte do modelo. A Dell diz que atualizações de BIOS cliente depois de 1º de janeiro de 2026 incluem os certificados de 2023.
HPUse HP Support Assistant ou a página de suporte do modelo e procure atualizações BIOS/UEFI relacionadas a certificados do Secure Boot.
LenovoUse Lenovo Vantage ou a página de suporte; em modelos empresariais, confira notas de implantação para Windows Boot Manager e WinPE.
ASUSA ASUS diz que Windows Update é preferível; BIOS/redefinição manual de chaves fica principalmente para casos em que o Windows não consegue obter ou aplicar a atualização.
Placa-mãe customizadaConfira modelo exato da placa e notas de BIOS. Procure Windows UEFI CA 2023, Secure Boot certificate, UEFI CA, KEK, DB, DBX ou BlackLotus.

Instale firmware apenas do fabricante do dispositivo ou da placa-mãe. Ferramentas aleatórias de “BIOS updater” não são atalho.

Donos de desktops customizados devem tratar isso como parte da história de suporte da placa-mãe, não só como uma caixa do Windows. Se você está remontando ou trocando uma máquina antiga, confira o modelo exato da placa, o histórico de BIOS e o suporte do fabricante antes de planejar qualquer mudança de hardware.

Checklist para pequenos escritórios e admins de TI

Se você gerencia mais que alguns PCs, não trate isto como atualização de consumidor em um clique. Trate como implantação próxima de firmware.

  1. Inventarie modelos, versões BIOS/UEFI, estado do Secure Boot e status de suporte do Windows.
  2. Garanta que chaves de recuperação do BitLocker estejam salvas e recuperáveis.
  3. Atualize firmware primeiro nos grupos de hardware que precisarem.
  4. Faça piloto em vários dispositivos por categoria de modelo/firmware.
  5. Use valores de status e eventos documentados pela Microsoft para verificar progresso.
  6. Recrie ou valide WinRE, WinPE, USB de instalação e mídia PXE.
  7. Documente rollback e recuperação antes de aplicar revogações amplas.

A Microsoft documenta acionamento empresarial via registro com AvailableUpdates, a tarefa agendada \Microsoft\Windows\PI\Secure-Boot-Update e valores de status em HKLM\SYSTEM<wbr>CurrentControlSet<wbr>Control<wbr>SecureBoot<wbr>Servicing.

Não cole comandos de registro empresariais em dispositivos aleatórios porque um fórum disse que funcionou. A Microsoft observa que a manutenção do Secure Boot pode levar tempo, exigir reinícios e ser bloqueada por firmware, estado do BitLocker ou pré-requisitos ausentes.

Fonte útil no log Sistema para admins:

TPM-WMI

IDs de evento úteis incluem:

ID do eventoSignificado em linguagem simples
1036Atualização do Secure Boot DB aplicada.
1043Atualização de KEK aplicada.
1044Microsoft Option ROM UEFI CA 2023 instalado.
1045Microsoft UEFI CA 2023 instalado.
1799Windows Boot Manager assinado em 2023 instalado.
1800Reinicialização necessária.
1801Certificados atualizados ainda não aplicados ao firmware.
1802Bloqueado por problema conhecido de firmware.
1803KEK assinado por PK OEM ausente; a Microsoft diz que o Windows não consegue contornar alguns desses casos.
1808Totalmente atualizado.

Windows 10, Windows 7 e PCs mais antigos

O Windows 10 chegou ao fim do suporte em 14 de outubro de 2025 para suporte normal ao consumidor. Alguns usuários e organizações podem continuar com Extended Security Updates, mas um PC Windows 10 sem suporte não é onde você quer depender de manutenção futura da cadeia de boot.

Se você está no Windows 10:

  • veja se o dispositivo está inscrito em ESU ou ainda recebendo atualizações de segurança por outro caminho;
  • instale todas as atualizações disponíveis e reinicie;
  • confira se Secure Boot está ativado e se a Segurança do Windows informa status de certificado;
  • atualize firmware pelo OEM se o dispositivo ainda tiver suporte;
  • planeje sair de hardware/software sem suporte se o PC não puder receber firmware ou manutenção do Windows necessários.

Para um PC muito antigo que não roda Windows 11 e não tem suporte real de firmware OEM, a resposta honesta pode ser substituição, não contorno via registro.

Se você ainda tem Windows 7

Windows 7 é diferente de Windows 10 ou 11. A Microsoft encerrou o suporte normal ao Windows 7 em 14 de janeiro de 2020, e o programa principal de Extended Security Updates do Windows 7 foi só até 10 de janeiro de 2023. Sistemas embarcados, médicos, industriais ou de ponto de venda ainda podem existir no mundo real, mas isso não os torna bons candidatos para uma atualização normal de certificados Secure Boot via Windows Update.

Regra para uma máquina Windows 7:

Não ligue Secure Boot casualmente

Muitas instalações do Windows 7 usam boot BIOS/CSM legado ou suposições antigas de UEFI. Ativar Secure Boot ou redefinir chaves pode impedir o boot.

Não conte como protegido só porque o firmware é moderno

Uma placa-mãe ou notebook pode receber certificados de firmware mais novos, mas o Windows 7 sem suporte continua sem manutenção de segurança atual.

Faça plano de substituição ou isolamento

Se a máquina controla uma ferramenta, caixa, equipamento de laboratório ou app antigo de negócio, documente, faça backup, isole da internet e planeje um caminho com suporte.

Checklist prático para Windows 7:

  1. Tenha uma imagem completa do disco e um caminho de restauração testado antes de tocar no firmware.
  2. Não mude Secure Boot, CSM, modo UEFI ou TPM sem testar o caminho exato em hardware reserva ou disco clonado.
  3. Remova navegação web, e-mail e trabalho diário dessa máquina.
  4. Coloque-a em rede/VLAN restrita ou offline se o fluxo permitir.
  5. Use allowlist de firewall apenas para servidores ou dispositivos necessários.
  6. Substitua ferramentas antigas de acesso remoto e bloqueie acesso de entrada quando possível.
  7. Pergunte ao fornecedor do software/hardware por um caminho de SO com suporte; em equipamento industrial antigo, isso pode significar imagem do fornecedor, plano de VM ou troca de hardware.

Se a máquina é importante demais para um simples “atualize”, ela é importante o bastante para ser tratada como risco operacional, não como PC doméstico comum.

Dual boot Linux, PXE e VMs

Sistemas dual boot exigem mais cautela que PCs só com Windows. Muitas distribuições Linux usam um shim assinado pela Microsoft para participar do Secure Boot. A transição exata para componentes assinados em 2023 depende da distribuição, do pacote shim e do banco de confiança do firmware.

Abordagem prática:

  • atualize Windows e sua distribuição Linux antes de mudar confiança do Secure Boot;
  • confirme a orientação da sua distro sobre Secure Boot/shim;
  • não aplique revogações DBX amplas até saber que ambos os caminhos de boot ainda funcionam;
  • mantenha um USB de recuperação atual para cada sistema.

PXE e WinPE são parecidos. Se seu boot de rede ou mídia de implantação ainda depende de componentes de boot assinados em 2011, etapas de revogação podem quebrá-los.

VMs também merecem checagem. Hosts e convidados Hyper-V precisam de manutenção atual do Windows para o caminho de atualização de certificados. Se você gerencia VMware ou outras plataformas de virtualização, leia as notas do fornecedor antes de aplicar revogações de Secure Boot amplamente.

Os termos sem neblina

TermoSignificado simplesPor que importa
Secure BootRecurso UEFI que verifica assinaturas de software de boot antes do Windows iniciar.Bloqueia alguns bootkits e código de boot inicial não autorizado.
UEFIInterface moderna de firmware que substituiu o BIOS legado na maioria dos PCs.Secure Boot depende de modo UEFI.
KEKKey Exchange Key. Autoriza mudanças nos bancos de confiança do Secure Boot.Se a confiança KEK está antiga ou ausente, atualizações podem falhar.
DBBanco de assinaturas permitidas.Contém certificados e hashes que o firmware confia.
DBXBanco de assinaturas proibidas.Bloqueia componentes de boot conhecidos como ruins ou revogados.
Windows UEFI CA 2023Novo certificado usado para confiança do Windows Boot Manager.O Windows precisa dele para a cadeia de boot de 2023.
Microsoft UEFI CA 2023Novo certificado para apps/loaders UEFI de terceiros.Relevante para caminhos e ferramentas de boot não Windows.
Option ROM UEFI CA 2023Novo certificado para certos componentes de boot de firmware de dispositivos.Relevante para hardware que inicializa por option ROM, como alguns dispositivos de rede/armazenamento.
Boot ManagerComponente inicial do Windows que inicia o sistema operacional.Boot managers vulneráveis antigos fazem parte da história de reforço contra BlackLotus.

Um plano sensato para a próxima semana

Para um PC doméstico normal:

  1. Faça backup de arquivos importantes.
  2. Salve a chave de recuperação do BitLocker se a criptografia do dispositivo estiver ativa.
  3. Instale atualizações do Windows.
  4. Reinicie até não haver reinício pendente.
  5. Confira Segurança do Windows > Segurança do dispositivo > Secure Boot.
  6. Veja o app de atualização do OEM para BIOS/UEFI se o Windows relatar problema de firmware.
  7. Recrie qualquer USB antigo de recuperação/instalação do Windows com ferramentas atuais da Microsoft.

Para um pequeno escritório, acrescente inventário, grupos piloto, monitoramento de eventos e validação de mídia de recuperação antes de tocar em revogações amplas.

A versão calma também é a séria: atualize normalmente, verifique o status real dos certificados e não transforme uma transição administrável em um problema de boot causado por você mesmo.

Notas de fontes

A orientação principal veio do panorama da Microsoft sobre expiração de certificados do Windows Secure Boot e atualizações de CA, da página de status no app Segurança do Windows, da orientação de atualização no Microsoft Learn, da referência de eventos de atualização Secure Boot DB e DBX, da orientação KB5025885, do playbook Windows IT Pro Secure Boot 2026 e da página de ciclo de vida do Windows 7. Contexto OEM foi checado com páginas de suporte da Dell e ASUS. Discussões de comunidade/admins foram usadas apenas para identificar pontos comuns de confusão, não como prova de comportamento técnico.