ztevenreal
Se acerca una época techo determinada relacionada con la función de comienzo seguro de Windows a mediados de 2026 y puede afectarle. Ayer de que se cargue Windows, Secure Boot verifica el proceso de inicio del sistema. Pero para hacer esto, depende de certificados criptográficos y, desafortunadamente, muchos de estos certificados de comienzo seguro de larga data caducan en junio de 2026.
Esto significa que es posible que los sistemas que no realicen la transición a tiempo no puedan aceptar futuras actualizaciones a nivel de comienzo. En las PC donde las futuras actualizaciones de firmware o seguridad dependen de certificados de comienzo seguro más nuevos, es posible que algunos dispositivos simplemente no se inicien. Microsoft ya ha comenzado a implementar certificados más nuevos, por lo que no debería entrar en pánico. Sin confiscación, debes entender cómo funciona todo para evitar sorpresas desagradables.
Qué hacen los certificados de comienzo seguro durante el inicio de Windows
El sistema de confianza que decide si su PC puede originarse
Ayer de que Windows, los controladores y el software antivirus entren en pasatiempo, Secure Boot hace su trabajo. Cada vez que enciende su computadora, el firmware del sistema utiliza un conjunto de certificados confiables almacenados directamente en el firmware UEFI para corroborar que los componentes de comienzo críticos, principalmente el Administrador de comienzo de Windows, hayan sido firmados por una autoridad confiable. Si la firma no se puede corroborar con un certificado confiable, el proceso de inicio finaliza inmediatamente.
Esta demostración es un paso importante en la dependencia de confianza. Las claves privadas de Microsoft firman los componentes de comienzo de Windows y los certificados correspondientes se almacenan en la pulvínulo de datos de firmas autorizadas (pulvínulo de datos de firmas autorizadas) del firmware; Estos certificados determinan qué cargadores de comienzo son confiables para su ejecución. La KEK (pulvínulo de datos de claves de intercambio de claves) garantiza que solo una entidad confiable puede modificar los cargadores de comienzo permitidos al tener certificados que controlan quién puede refrescar la pulvínulo de datos.
El punto importante es que los certificados de comienzo seguro tienen fechas de caducidad. Luego del vencimiento, el firmware de su PC no puede creer en los certificados caducados como áncora de confianza. Este es un mecanismo de seguridad intencional para deslindar la exposición a desprendido plazo a claves de firma comprometidas u obsoletas.
¿Qué certificados están caducando?
Las claves de firma más antiguas de Microsoft en las que Windows ha confiado durante más de una decenio
Muchos de los certificados afectados se crearon en 2011 y dejarán de ser válidos en algún momento de 2026. A continuación se muestran los certificados eliminados y de reemplazo:
|
Ventana de vencimiento |
Certificado en proceso de aniquilación |
Certificado(s) de reemplazo |
Qué controla este certificado |
|---|---|---|---|
|
junio 2026 |
Corporación Microsoft KEK CA 2011 |
Corporación Microsoft KEK CA 2023 |
Autoriza actualizaciones de las bases de datos de confianza de Secure Boot |
|
junio 2026 |
Microsoft UEFI CA 2011 |
Microsoft UEFI CA 2023 y Microsoft Option ROM UEFI CA 2023 |
Permite ejecutar cargadores de comienzo, controladores y ROM opcionales |
|
Octubre 2026 |
PCA de producción de Microsoft Windows 2011 |
Windows UEFI CA 2023 |
Firma el administrador de comienzo de Windows y los componentes de comienzo principales. |
Desde Windows 8, estos tres certificados salientes han sido la columna vertebral del comienzo seguro en computadoras con Windows. Microsoft UEFI CA 2011 se reemplaza por dos certificados para mejorar la granularidad de la seguridad. Si perfectamente es posible que no espere que todos los sistemas que no adoptan los certificados más nuevos fallen repentinamente, es posible que queden excluidos de futuras actualizaciones o protecciones de comienzo seguro.
Puede ver el certificado coetáneo en su PC ejecutando este comando de PowerShell: (Get-AuthenticodeSignature “C:WindowsBootEFIbootmgfw.efi”).SignerCertificate | Formato: Asunto de cinta, Emisor, No posteriormente, Huella digital
Por qué las PC afectadas pueden dejar de iniciarse posteriormente de una modernización
Cómo las transiciones y revocaciones de certificados pueden romper la confianza de las startups
Probablemente no experimente fallas de comienzo seguro el día que caduquen sus certificados. Sin confiscación, una modernización de firmware o de seguridad puede influir en lo que su PC está dispuesta a creer y, en tales casos, pueden comenzar las fallas. Este comportamiento se observó posteriormente La respuesta de Microsoft al kit de comienzo BlackLotus UEFI, que permitía ejecutar cargadores de comienzo maliciosos incluso en sistemas que habían apoderado el comienzo seguro.
El parche de Microsoft para esta vulnerabilidad no fue suficiente. Como demostración más exhaustiva, Microsoft comenzó a revocar los componentes de comienzo vulnerables. Incluso endureció los requisitos de comienzo seguro.
Los certificados más nuevos de 2023 se volvieron fundamentales para la revocación y futuras protecciones de comienzo seguro. Lo que esto significa en términos prácticos es que incluso si su PC parece funcionar perfectamente, Secure Boot puede cortar el inicio si una modernización requiere confianza en certificados más nuevos que no tiene. Es posible que en ese momento le queden pocas opciones de recuperación.
Cómo Microsoft está realizando la transición de las PC a certificados de comienzo seguro más nuevos
Actualizaciones automáticas, reglas de elegibilidad y por qué se omiten algunos dispositivos
Microsoft inició una implementación escalonado, antiguamente de 2026, comenzando con lo que describe como sistemas de reincorporación confianza. Estos sistemas tienen firmware nuevo, un historial de actualizaciones estable y ya tienen apoderado el comienzo seguro. Los sistemas elegibles obtienen el nuevo certificado a través de las actualizaciones de Windows, pero solo pueden instalarlo con la cooperación del firmware del sistema.
Las máquinas virtuales (VM) de Windows que utilizan UEFI Secure Boot generalmente dependen del mismo maniquí de confianza y obtienen el certificado a través del mismo proceso que los dispositivos físicos. Esto incluye máquinas virtuales que se ejecutan en Hyper-V y Azure. Cualquier máquina supuesto que no acepte certificados más nuevos correría la misma suerte que el hardware físico.
Las actualizaciones de Windows 2026 KB5074109 y KB5073455 ya comenzaron a implementar estos certificados. Sin confiscación, las limitaciones del firmware pueden significar que solo las acciones manuales puedan completar el proceso de implementación en ciertos dispositivos.
Puede ejecutar este comando en PowerShell y un valía desigual de cero para Actualizaciones disponibles confirmaría que su computadora es elegible para admitir actualizaciones de certificados: Get-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetControlSecureBoot” | Cinta de formatos
8 formas de solucionar tiempos de comienzo lentos en Windows 11 y 10
No deberías poder preparar café mientras esperas a que se inicie tu PC.
Qué hacer ahora para cerciorarse de que su PC aún comienzo en 2026
Hay dos cosas importantes que debe hacer ahora: confirmar que tiene apoderado el comienzo seguro y que el firmware de su sistema está actualizado. La utensilio Información del sistema de Windows puede mostrar si el comienzo seguro está apoderado. Sin confiscación, cualquier modernización de firmware debe provenir del fabricante de su PC o de la plataforma que administra el firmware supuesto.
Si su sistema es elegible, la modernización generalmente se realiza silenciosamente en segundo plano. Debería prestar más atención a los dispositivos con configuraciones de comienzo dual o a las PC con restos de comienzo heredados, ya que es menos probable que se implementen automáticamente. Es posible que tengas que navegar hasta esta ruta de registro: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureBoot y establecer el Actualizaciones disponibles valía del registro a un valía desigual de cero. Puede considerar utilizar un editor más seguro para cambiar los títulos del registro.
