O certificado Microsoft 2011 de Secure Boot expirará em junho de 2026. Isso pode fazer com que os dispositivos não consigam realizar iPXE com o Secure Boot habilitado.
O Secure Boot é um recurso crítico de segurança no firmware UEFI que garante que apenas softwares verificados e confiáveis sejam carregados durante o processo de inicialização do dispositivo. Desde que a Microsoft introduziu o Secure Boot com o Windows 11 (e posteriormente retroportou o suporte para Windows 10 e 8.1), todos os PCs Windows certificados passaram a vir com os mesmos certificados de assinatura da Microsoft armazenados no banco de dados KEK (Key Exchange Key) e no banco de dados db (banco de dados de assinaturas permitidas). Esses certificados originais agora estão programados para expirar em 2026.
Documentação oficial da Microsoft sobre a mudança no Secure Boot.
Expiração do certificado do Secure Boot do Windows e atualizações de CA - Suporte da Microsoft
Aja agora: os certificados do Secure Boot expiram em junho de 2026 - Windows IT Pro Blog
Na versão 9.3.311 do KACE System Deployment Appliance, atualizamos nossos certificados para tratar essa situação e tornar o KACE SDA preparado para o futuro, garantindo total compatibilidade com as mudanças futuras.
Mais detalhes sobre este hotfix podem ser encontrados aqui.
Baixe o hotfix clicando aqui.
O banco de dados de certificados do Secure Boot deve ser atualizado por meio de uma atualização de BIOS/firmware fornecida pelo fabricante do equipamento (Dell, HP, Lenovo). Se o certificado não for atualizado, o Secure Boot deixará de funcionar corretamente com a inicialização via PXE.
Aqui está a documentação dos fabricantes sobre essa situação:
Expiração do Certificado Microsoft 2011 de Secure Boot | Dell EUA
Como atualizar o banco de dados ativo do Secure Boot a partir da BIOS | Dell EUA
Guia de Modos do Secure Boot - Site de Documentação Lenovo CDRT
PCs Comerciais HP - Preparação para os novos certificados do Secure Boot do Windows | Suporte HP
Certificados do Secure Boot do Surface - Suporte da Microsoft
Observação:
Em alguns casos, os dispositivos afetados podem exigir uma intervenção manual única: entrar no setup da BIOS/UEFI e selecionar a opção para redefinir ou limpar as chaves do Secure Boot antes que o sistema consiga inicializar com sucesso.
