A nova atualização da Microsoft vai testar sua paciência

A Microsoft começou a troca obrigatória dos certificados Secure Boot e alguns computadores vão reiniciar várias vezes no processo. Ignorar a atualização pode deixar o sistema sem futuras correções críticas de segurança.

 Carlos Valente, em Maio 28, 2026 |  151 visualizações |  Tempo de leitura: 7 min - 1383 palavras.

Computador em atualização crítica de Secure Boot no Windows
A troca dos certificados Secure Boot mexe com a base de confiança usada pelo Windows na inicialização.

Há um cronômetro silencioso rodando no coração da placa-mãe de milhões de computadores. Não se trata de desgaste físico ou obsolescência programada, mas sim da expiração de uma confiança digital estabelecida há 15 anos. Em junho de 2026, os certificados criptográficos originais que regem o Secure Boot desde 2011 perderão a validade. Para evitar que PCs com Windows 11, e até máquinas com Windows 10 sob suporte estendido, se tornem vulneráveis a ataques que nem o antivírus consegue enxergar, a Microsoft iniciou uma das transições de firmware mais complexas da história da computação pessoal.

Em junho de 2026, os certificados criptográficos originais que regem o Secure Boot desde 2011 perderão a validade.

O que é o Secure Boot e por que a mudança agora?

O Secure Boot (Inicialização Segura) é um padrão de segurança da indústria que garante que seu PC utilize apenas softwares confiáveis pelo fabricante (OEM) no momento em que é ligado. Ele reside na UEFI (Unified Extensible Firmware Interface), sucessora moderna da antiga BIOS. O sistema funciona por meio de uma hierarquia rigorosa: a PK (Platform Key) controla o acesso à KEK (Key Exchange Key), que, por sua vez, gerencia o banco de dados de assinaturas permitidas (DB) e a lista de revogação (DBX), responsável por bloquear softwares maliciosos conhecidos como bootkits.

O problema, como explicam especialistas como Arden White e Scott Shell, da Microsoft, é que a autoridade criptográfica dos certificados de 2011 está chegando ao fim. Após junho de 2026, a Microsoft perderá tecnicamente a capacidade de assinar novos arquivos de boot usando as chaves antigas. Sem a transição para os novos certificados de 2023, o PC perde sua "âncora de confiança".

O sistema depende de uma hierarquia de chaves: a DB (Signature Database) contém os certificados confiáveis que permitem o carregamento do Gerenciador de Inicialização do Windows, enquanto a DBX armazena assinaturas de malwares conhecidos, como o BlackLotus, para que o sistema os bloqueie antes do início do Windows.

O mistério dos múltiplos reinícios: seu PC não está quebrado

Se você notar que seu computador reinicia duas ou três vezes seguidas após uma atualização, levando até 20 minutos no processo, mantenha a calma. Esse comportamento, embora atípico para atualizações comuns, é essencial para manipular a NVRAM (memória não volátil) da placa-mãe.

Etapas de reinicialização do Windows durante atualização do Secure Boot
Os múltiplos reinícios ajudam o firmware a preparar, aplicar e carregar os novos certificados do Secure Boot.

O primeiro reinício prepara o terreno, o segundo aplica fisicamente os novos certificados ao firmware e o terceiro carrega o novo gerenciador de boot, já assinado pelas chaves de 2023. De acordo com o gerente de engenharia Richard Powell, embora os processos automatizados tentem esconder essa complexidade, gatilhos manuais ou atualizações críticas tornam esses múltiplos reinícios bastante visíveis.

O Windows 11 pode reiniciar várias vezes após as atualizações, e seu PC não está quebrado, pois isso se deve ao Secure Boot 2023. O envio de dados para o firmware requer um ciclo para preparar, aplicar e finalmente carregar o novo bootloader.

O dilema da telemetria: por que "esconder" dados pode bloquear sua segurança

Existe uma ironia tecnológica aqui: para garantir a segurança física do seu hardware, você precisa abrir mão de uma parcela da privacidade. A Microsoft exige que os Dados de Diagnóstico, a famosa telemetria, estejam ativados no nível "Obrigatório" para que a atualização automática ocorra.

Isso acontece devido aos chamados Buckets de Confiança (Confidence Buckets). Como existem milhões de combinações de placas-mãe, a Microsoft utiliza a telemetria para monitorar se modelos específicos estão sofrendo falhas ou "brickando", tornando-se inoperantes, durante a troca de chaves. Se o seu PC não envia esses dados, ele não entra no grupo de confiança e a atualização pode ser retida para evitar danos ao sistema. Erros como o 0x80070002 costumam indicar que o sistema ainda está aguardando dados de confiança suficientes para prosseguir com segurança.

A telemetria funciona como uma cancela de segurança. A Microsoft utiliza o feedback global para garantir que um modelo específico de hardware sobreviveu à atualização de firmware antes de liberá-la para o restante da frota mundial.

BitLocker e criptografia: o medo do bloqueio

O BitLocker é o sistema de criptografia de disco que protege seus arquivos, e ele é extremamente sensível a mudanças no boot. Como a atualização do Secure Boot altera as medições de segurança nos registros PCR 7, existe um risco teórico de que o sistema interprete a mudança como um ataque e exija a chave de recuperação.

O processo foi desenhado para ser BitLocker-aware, ou seja, consciente do BitLocker, tentando "selar" as chaves automaticamente para a nova configuração. No entanto, em hardwares customizados ou ambientes corporativos, a variação de firmware pode causar falhas. Por isso, a recomendação de ouro dos especialistas é: sempre tenha sua chave de recuperação em mãos antes de grandes atualizações do sistema.

Embora o processo seja BitLocker-aware, variáveis de hardware que a Microsoft não consegue testar individualmente podem acionar o sensor de segurança, tornando vital o backup da chave de recuperação em uma conta Microsoft ou dispositivo externo.

A consequência do silêncio: o que acontece se você ignorar o prazo?

Ignorar o prazo de junho de 2026 não fará seu PC parar de funcionar no dia seguinte, mas o colocará em um estado de degradação permanente. As consequências são sérias:

  • Fim das atualizações de segurança de boot: sem a chave de 2023, a Microsoft não poderá mais enviar correções para arquivos críticos de inicialização.
  • Vulnerabilidade a bootkits: o sistema ficará incapaz de atualizar a lista DBX, deixando a "porta dos fundos" aberta para malwares sofisticados.
  • Bloqueio de upgrades futuros: versões futuras do Windows, como a 26H2 e posteriores, serão programadas para falhar propositalmente na instalação caso o certificado de 2023 não esteja presente, evitando que o sistema se torne impossível de iniciar após o upgrade.

Se o seu sistema não estiver inicializando através da cadeia de 2023 até a data de expiração, você ficará permanentemente sem correções de segurança em nível de firmware, transformando seu PC em uma fortaleza com a porta dos fundos aberta.

Como saber se você está seguro? (O semáforo da segurança)

Para verificar o status do seu PC, você não precisa de linhas de comando complexas. O caminho é simples: abra o aplicativo Segurança do Windows, clique em Segurança do Dispositivo e procure pela seção Inicialização Segura. Lá, você encontrará os indicadores de status:

Indicadores de segurança do Secure Boot no Windows
O status do Secure Boot no Windows indica se a máquina já está protegida pela nova cadeia de certificados.
  • Ícone verde: você está protegido. O certificado de 2023 foi aplicado e o sistema está inicializando corretamente por ele.
  • Ícone amarelo ("Não atualizado"): o Windows ainda utiliza a configuração antiga e aguarda telemetria ou um ciclo de atualização para mudar.
  • Ícone vermelho ("Ação necessária"): o Secure Boot pode estar desativado na BIOS ou houve uma falha crítica na aplicação.

Leia também

Para continuar acompanhando temas ligados a atualizações críticas, proteção do Windows e riscos de segurança digital, veja também estes conteúdos da Valente Soluções:

Resumo final e reflexão

Esta transição nos lembra que a segurança digital possui um prazo de validade físico. Os certificados atuais devem proteger os sistemas até 2038, mas o horizonte tecnológico já aponta para 2030, quando a criptografia pós-quântica exigirá que todo esse processo seja repetido com chaves ainda mais robustas.

Resta a provocação: estamos dispostos a aceitar a telemetria constante e as atualizações automáticas como o "preço" necessário para evitar que precisemos gerenciar manualmente, e com risco de perda total, a segurança física do nosso hardware?

Consultoria em segurança e infraestrutura

A Valente Soluções ajuda empresas e profissionais a manterem computadores, redes e ambientes de trabalho atualizados com mais segurança, reduzindo riscos de falhas, perda de acesso e exposição a ameaças digitais. Para avaliar seu ambiente ou planejar uma rotina de atualização mais confiável, fale conosco.

Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5 e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.

Tags

 microsoft  windows 11  secure boot  bitlocker  uefi  firmware  segurança digital  atualização de segurança  bootkit  windows update

Leia Também

1.
Hacking Automatizado: O que o alerta do Google sobre a IA significa para você
14 Mai, 2026
2.
MiniPlasma: como uma falha de 2020 voltou para assombrar o Windows 11
22 Mai, 2026
3.
Código de Guerra: O lado sombrio do suporte ao cliente Microsoft
20 Abr, 2026
4.
Gemma 4: O fim das assinaturas de IA e a ascensão da soberania computacional
22 Abr, 2026
5.
Deepfake: Você saberia diferenciar a realidade da fantasia em apenas 6 segundos?
27 Abr, 2026