O ecossistema global de inicialização segura (UEFI Secure Boot) está passando por uma de suas fases mais críticas. Após um ciclo de vida de 15 anos, as autoridades de certificação (CAs) criadas pela Microsoft em 2011 estão atingindo suas datas de expiração ao longo de 2026.
A partir deste mês de junho de 2026, os computadores que não atualizarem para as novas chaves criptográficas de 2023 enfrentarão sérios problemas de compatibilidade, incluindo o temido erro de “Secure Boot Violation” e a incapacidade total de iniciar o sistema operacional ou de dar boot através de mídias externas, como pendrives.
O que está acontecendo com o Secure Boot?
A validação de integridade do hardware e software durante a inicialização depende de quatro variáveis de armazenamento não-volátil (NVRAM) na placa-mãe: PK (Chave da Plataforma), KEK (Chave de Troca de Chaves), DB (Banco de Dados de Assinaturas Permitidas) e DBX (Banco de Dados de Assinaturas Revogadas).
Até então, o gerenciador de boot do Windows e os firmwares de terceiros eram validados por chaves emitidas em 2011. Com a expiração natural desses certificados, a Microsoft iniciou o processo de endurecimento do sistema. Quando as chaves antigas forem definitivamente movidas para a lista negra (DBX), qualquer código assinado por elas será bloqueado.
As Datas Limite de Expiração:
24 de Junho de 2026: Expiração do Microsoft Corporation KEK CA 2011.
27 de Junho de 2026: Expiração do Microsoft Corporation UEFI CA 2011.
19 de Outubro de 2026: Expiração do Microsoft Windows Production PCA 2011.
O problema se manifesta de forma cruzada: se você tentar dar boot por um pendrive com a tabela de chaves antiga em uma placa-mãe já atualizada, o erro ocorrerá. O inverso também é verdadeiro: uma placa-mãe antiga com chaves de 2011 tentando rodar um sistema ou mídia com a assinatura nova de 2023 resultará em bloqueio.
O Impacto Silencioso nas Placas de Vídeo (Option ROM)
Além do sistema operacional, as placas de vídeo (especialmente modelos legados da NVIDIA ou AMD) também dependem desse ecossistema. Durante o POST (processo de inicialização do hardware), a placa-mãe executa a VBIOS da placa de vídeo usando o protocolo GOP (Graphics Output Protocol).
Historicamente, esses firmwares de vídeo eram assinados sob o certificado de terceiros de 2011. Se a sua GPU for antiga e não receber atualizações de firmware do fabricante, a inclusão das chaves antigas no DBX pode fazer com que a placa-mãe recuse o sinal de vídeo no pré-boot. O resultado direto é a ausência de vídeo (tela preta) na hora de acessar a BIOS, ou falhas críticas com bipes de erro no hardware.
Como Resolver e Atualizar o Certificado
Felizmente, existem caminhos oficiais e automatizados para garantir que sua máquina receba os certificados de 2023 (CA 2023) e permaneça inicializando normalmente.
O Requisito Obrigatório: Secure Boot Habilitado
Independentemente do método escolhido, o Secure Boot (Inicialização Segura) deve estar obrigatoriamente habilitado na sua placa-mãe.
Acesse a BIOS do seu computador.
Certifique-se de que o suporte CSM (Compatibility Support Module) está Desativado (Disabled).
Ative o Secure Boot (Enabled).
Método 1: Atualização Automática via Windows Update
Se o seu Secure Boot já estiver ativado e você estiver utilizando uma versão oficial e atualizada do Windows, a Microsoft instala o novo certificado de forma totalmente automática em segundo plano.
O sistema aplica uma atualização específica (atrelada ao gerenciamento de KB e atualizações de segurança de boot). Para verificar se deu certo, você pode checar o seu Histórico de Atualizações no painel de configurações do Windows e procurar por pacotes de atualização de chaves de Inicialização Segura (Secure Boot CA/KEK update).
Método 2: Instalação Manual via Windows PowerShell
Caso sua placa-mãe tenha sido resetada para os padrões de fábrica, retornado para as chaves originais de 2011, ou se você simplesmente deseja forçar a instalação imediata, o procedimento pode ser feito manualmente através de comandos oficiais da Microsoft:
Instalando Certificado
Seguido estriramente os comandos da Microsoft, você pode atualizar sua máquina para que a mesma passe a usar o padrão do novo certificado. O comando abaixo já habilita sua BIOS para tal requisito, siga os passos abaixo.
Instalar o certificado UEFI CA 2023 da Microsoft no firmware UEFI a partir do Windows 11 é muito fácil:
Para que os comandos abaixo funcionem você precisa está com Secure Boot ativado no seu PC.
1. Abra o PowerShell como administrador;
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot” -Name “AvailableUpdates” -Value 0x40
3. Execute o comando:
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
4. Reiniciar (duas vezes)
5. Verifique se o certificado foi instalado. Execute no PowerShell
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Ele deve retornar True.
Cenários Comuns: Devo me Preocupar?
Muitos técnicos e usuários possuem dúvidas sobre o que acontece em situações cotidianas de manutenção após a virada de chaves da Microsoft. Abaixo mapeamos os principais cenários:
Comprei uma placa-mãe antiga ou resetei a BIOS para o padrão de fábrica (voltando para chaves de 2011). O que acontece?
Não há necessidade de pânico. Desde que você faça a instalação ou possua o Windows em uma versão oficial recente e mantenha o Secure Boot ativo, o próprio sistema operacional injetará o certificado de 2023 automaticamente após cerca de 30 minutos de uso.
Se eu formatar o computador com uma ISO antiga após junho, o PC vai travar?
Se a ISO for muito antiga e não possuir as instruções de compatibilidade atualizadas, e sua placa-mãe já estiver com o “endurecimento” ativo (DBX atualizado), você receberá o erro de violação de boot. A recomendação é sempre utilizar mídias de instalação oficiais e atualizadas diretamente do site da Microsoft.
Manter o hardware atualizado e compreender a transição de segurança da UEFI é o único caminho para evitar surpresas com telas pretas e bloqueios de boot nos próximos meses.
