Nell’articolo a proposito di Rocky Linux che abbiamo pubblicato la scorsa settimana, parlando delle evoluzioni dell’infrastruttura che il nuovo corso del progetto affronterà, c’era un riferimento chiaro al nuovo ambiente per i test di Secure Boot. Il fatto che esiste un ambiente dedicato proprio a questo contesto, per quanto del tutto normale, è un tema di attualità.

Cerchiamo di capire insieme perché, analizzando un po’ di storia.

Secure Boot è stato introdotto per la prima volta nel 2008 all’interno della specifica UEFI (Unified Extensible Firmware Interface), sostanzialmente il software di avvio della scheda madre, successore del vecchio BIOS, e quando nel 2012 è diventato un requisito per tutti i PC con Windows 8 preinstallato sono iniziati i problemi da gestire per il mondo Linux.

Nella sostanza, l’unica via per avviare distribuzioni Linux su questi sistemi era quella di disabilitare Secure Boot, poiché altrimenti il boot loader (normalmente GRUB) non avendo alcuna firma, non sarebbe stato riconosciuto come affidabile. Tra la fine del 2012 e l’inizio del 2013 le prime distribuzioni come Fedora e Ubuntu (precisamente 12.04.2 LTS) hanno iniziato a pagare Microsoft (mediante il programma WinQual) per far firmare il proprio GRUB con i certificati ufficiali. Un processo che, si fa in fretta a capire, era tutt’altro che conveniente.

Verso la fine 2013 in poi, grazie a un importante contributo da parte di Red Hat, viene creato il progetto shim, sostanzialmente un boot loader che viene firmato (gratuitamente per le distribuzioni Linux) da Microsoft e adottato da tutte le maggiori distribuzioni.

Arriviamo finalmente all’attualità, perché: dal 24 giugno 2026, tre importanti certificati digitali alla base del meccanismo di sicurezza “Secure Boot” scadranno.

Ora, per la maggior parte degli utenti questo evento non ha alcuna conseguenza pratica. Per chi ha un PC Windows 10 o 11 con gli aggiornamenti automatici attivi, il sistema si aggiornerà da solo durante i normali cicli mensili e, per chi usa Linux, basterà attendere che la propria distribuzione rilasci il nuovo shim compatibile con i nuovi certificati.

Per chi invece ha un PC vecchio e non aggiornato, quindi non riceve più aggiornamenti da Windows Update o il produttore della scheda madre ha smesso di rilasciare aggiornamenti del BIOS, potrebbero esserci problemi, poiché l’aggiornamento dei certificati non avverrà in automatico ed il computer resterà esposto alle potenziali minacce che riguardano l’UEFI. L’alternativa sarà cercare manualmente gli strumenti di Microsoft per installare i nuovi certificati, un’operazione tecnicamente complessa e non molto alla portata delle competenze (e del tempo) di tutti.

Il rischio concreto per l’utente medio non è un attacco immediato, ma un futuro “buco” nella sicurezza: se venisse scoperto un nuovo bootkit (evento non così raro, per chi si ricorda di BootKitty) che sfrutta proprio la mancanza dei nuovi certificati, il proprio PC non sarebbe protetto, rendendolo un bersaglio più facile per quei simpatici malware che possono rubarti la vita.

In conclusione, la scadenza dei certificati era attesa da tutti i player attuali, sistemi Microsoft o distribuzioni Linux che fossero, ma un occhio di riguardo per quel PC che non aggiornate mai perché “tanto funziona“, beh, forse varrebbe la pena di dedicarlo.