Os certificados originais do Secure Boot, implementados em 2011 para proteger o hardware Windows, vão expirar em Junho de 2026. Para evitar que milhões de computadores fiquem vulneráveis ou incapazes de iniciar, a Microsoft está a realizar uma transição gradual para as chaves emitidas em 2023. Esta actualização é um processo delicado, uma vez que manipula directamente o firmware UEFI das motherboards.
Numa sessão de esclarecimento recente, engenheiros da Microsoft explicaram os detalhes desta transição. O Secure Boot é uma norma de segurança desenhada para garantir que o dispositivo arranca apenas a utilizar software de confiança do fabricante. Ao verificar as assinaturas digitais de todos os componentes de arranque, o sistema bloqueia malware logo no início do processo, protegendo a máquina contra ameaças que podem contornar até as defesas do seu browser ou antivírus.
O impacto de ignorar a actualização
Os utilizadores que não actualizarem os seus sistemas para os novos certificados não vão ficar com os computadores inutilizados. As máquinas continuarão a arrancar e a funcionar normalmente, recebendo as actualizações de segurança padrão do sistema operativo.
No entanto, a segurança do sistema vai sofrer uma degradação permanente. A Microsoft deixará de enviar actualizações críticas de arranque e listas de revogação de assinaturas comprometidas (a base de dados DBX). Sem estas listas actualizadas, os computadores ficam expostos a ameaças profundas, como bootkits e vírus de sector de arranque. As empresas, em particular, devem estar atentas a esta falha de segurança nas suas frotas de computadores, garantindo que a transição ocorre sem percalços.
Hardware antigo e configurações da BIOS
O processo de actualização via Windows Update é inteligente o suficiente para detectar as capacidades de cada máquina. Se o computador utilizar uma BIOS antiga, é fisicamente incapaz de suportar o Secure Boot, pelo que o Windows vai ignorar a tentativa de actualização por completo. Por outro lado, se o sistema usar um Módulo de Suporte de Compatibilidade (CSM) para emular a BIOS antiga, mas mantiver as capacidades UEFI activas, a instalação prossegue de forma normal.
Um detalhe crucial é que a actualização falha intencionalmente se o Secure Boot estiver desactivado na BIOS. A Microsoft tomou esta decisão para evitar danos irreversíveis nos sistemas, exigindo que a funcionalidade esteja a correr activamente. Se o PC recusar arrancar com o Secure Boot ligado, os utilizadores terão de resolver problemas de configuração na BIOS, muitas vezes relacionados com a formatação do disco (MBR versus GPT).
BitLocker e vários reinícios
A transição para os novos certificados tem em conta a encriptação BitLocker e é feita por fases. Como a actualização do firmware é um procedimento sensível, os utilizadores podem notar um comportamento invulgar e múltiplos reinícios do sistema durante a aplicação das novas chaves criptográficas.
Os utilizadores podem verificar o estado actual do Secure Boot e a compatibilidade do seu sistema directamente através da aplicação Segurança do Windows.
