La infraestructura de Secure Boot afrontará una de sus mayores actualizaciones desde su introducción. Microsoft sustituirá los certificados UEFI utilizados desde 2011, un cambio que afectará a sistemas Windows, distribuciones Linux, firmware de placas base, medios de recuperación y entornos de arranque corporativos basados en PXE.
La expiración de los certificados no provocará que los equipos dejen de arrancar de forma inmediata. Sin embargo, los sistemas que no reciban los nuevos certificados quedarán excluidos de futuras actualizaciones relacionadas con el proceso de arranque y las mejoras de seguridad asociadas.
El calendario de expiración comenzará el 24 de junio de 2026 con el certificado Microsoft Corporation KEK CA 2011. Tres días después, el 27 de junio de 2026, vencerá Microsoft UEFI CA 2011, mientras que Microsoft Windows Production PCA 2011 expirará el 19 de octubre de 2026.
Los equipos que no incorporen los certificados equivalentes de 2023 seguirán ejecutando Windows y recibiendo actualizaciones convencionales del sistema operativo. No obstante, quedarán fuera de futuras versiones de componentes como Windows Boot Manager, de las actualizaciones de las bases de datos DB y DBX, así como de nuevas medidas de mitigación frente a amenazas del tipo bootkit. Esto implica que el sistema permanecerá anclado a un nivel de confianza anterior, una limitación especialmente relevante tras vulnerabilidades como LogoFail.
En el ecosistema Windows, la transición se realizará principalmente mediante Windows Update, aunque algunos equipos más antiguos podrían requerir actualizaciones de firmware proporcionadas por sus fabricantes. En determinados casos, BitLocker también podría exigir intervención manual durante el proceso.
La situación es más compleja en Linux. Además de incorporar los certificados de 2023 en el firmware, las distribuciones deberán desplegar nuevas versiones de shim, el cargador intermedio utilizado durante el arranque seguro. Red Hat ya ha distribuido versiones de shim con doble firma para RHEL 9 y RHEL 10, mientras que RHEL 8 tenía prevista su disponibilidad para junio de 2026.
Los sistemas que no completen la transición podrían enfrentarse a problemas futuros si se descubren vulnerabilidades en versiones antiguas de shim. En esos casos, los administradores podrían verse obligados a elegir entre mantener un cargador vulnerable o desactivar Secure Boot.
Fuente: Soporte de Microsoft, Comunidad Tecnológica de Microsoft, Red Hat
Podría interesarte
AMD amplía el soporte de Advanced Shader Delivery a las Radeon RX 5000 y refuerza su apuesta por la reducción de tiempos de carga
CD Projekt detalla cómo rinde The Witcher 3: Wild Hunt – Songs of the Past en equipos con Windows 10
