8 de julio de 2025—KB5062553 (compilación del sistema operativo 26100.4652)

Me preocupa el aviso que hay sobre Windows Secure Boot certificate expiration

En el trabajo tengo un W11 Pro, no conectado a dominios ni nada de eso, pero si tiene arranque seguro activado. Viendo el aviso de que caducarán en julio de 2026, he seguido los enlaces, pero no me aclaro bien con los pasos a seguir, y me da miedo cagarla y que el equipo no arranque después.

Alguna ayuda please...

Microsoft ha señalado en KB5036210 que las actualizaciones de Windows del 13 de febrero de 2024 y posteriores instalarán el certificado Windows UEFI CA 2023 en la base de datos de firmas (DB) permitida de arranque seguro UEFI.


Esto permite que las próximas actualizaciones del gestor de arranque se instalen directamente a través de Windows Update.

Como escribe Microsoft, esto es importante "ya que el certificado existente caduca y cambiar al nuevo certificado es el primer paso para preparar los dispositivos
para que funcionen con las próximas actualizaciones del cargador de arranque que se cifrarán con el nuevo certificado".

Tenga en cuenta que algunos dispositivos pueden experimentar problemas de compatibilidad de bases de datos.
Por ejemplo, actualmente los dispositivos basados en ARM64 están excluidos.
Aquí Microsoft trabaja con los fabricantes OEM. Por lo tanto, actualmente las actualizaciones no se entregan automáticamente.

Por lo tanto, en las empresas, el cambio debería probarse primero en un dispositivo seleccionado antes de aplicarse a todos los dispositivos.


Para que los certificados se instalen a través de Windows Update, se debe realizar un cambio en el registro.

Tecla de Windows + R ingresa regedit, ábrelo y cambia a esta ruta.:

Luego haga doble clic en la parte derecha de la ventana AvailableUpdates y cambie el valor a 40.


Esto se puede configurar usando PowerShell
Se debe instalar la actualización de seguridad de febrero de 2024.


Inicie PowerShell (administrador) e ingrese este comando.:

Iniciar una tarea programada de inicio:


Reinicia la PC dos veces
Ahora ingrese el siguiente comando en PowerShell (Administrador):

(en mi caso sin actuar aparece "false" antes de aplicar el trick)


PowerShell ahora debería generar un resultado "True"


Después de reiniciar la computadora dos veces, la entrada del registro se establece nuevamente en 0.
Las nuevas entradas aparecen en el programador de tareas y PowerShell también genera "True".

Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>Secure-Boot-Update
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>SecureBootEncodeUEFI


Esto copia la política de inicio de integridad del código en la partición EFI del dispositivo..:


Luego, el comando lo arma Actualización de mayo de 2023.:
Este comando será necesario después de la actualización de julio de 2023.:
Nota: Siempre que SKUSiPolicy.p7b no se haya ejecutado manualmente y no se haya ejecutado el comando reg, no es necesario actualizar los medios de instalación. Sólo cuando ejecuta ambos comandos sucede que Windows no puede iniciarse desde los archivos de arranque. No deberías hacer eso en este momento. Microsoft apenas está preparando el cambio.
Probando los certificados
Para probar qué certificados utiliza actualmente Windows, puede utilizar PowerShell (administrador).

Certificado antiguo.:



Nuevo certificado.:


Si se genera True para ambos, aún puede iniciar desde un medio de inicio antiguo.

Si solo Windows UEFI CA 2023 está configurado en True, entonces solo funciona sin SecureBoot o con nuevos medios de arranque.



Fuentes.:

Actualización de las claves de arranque seguro de Microsoft


KB5036210: Implementar el certificado de CA 2023 de LA UEFI de Windows en la base de datos de firmas permitidas de arranque seguro (DB)


Cómo administrar las revocaciones de Windows Boot Manager para cambios de arranque seguro asociados con CVE-2023-24932


​

Muchas gracias.

Llegando al paso de comprobar los certificados dice:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows Production PCA 2011'
True

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True

Entiendo entonces que todo está correcto y no habrá problemas en el equipo con el arranque seguro...

Ninguno, recibirás por WU las actualizaciones CA futuras

Gracias

Acabo de comprobar que en el programador de tareas me sale

Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>Secure-Boot-Update <------ ESTA SI

Pero NO la segunda que indicas:
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>SecureBootEncodeUEFI <----- ESTA NO

Pero como el resultado de loa certificados al final están bien, entiendo que no habrá problemas...

Si que me sale otra tarea llamada Sqm-Tasks

Que dice: Esta tarea reúne información acerca del Módulo de plataforma segura (TPM), arranque seguro y arranque medido.

En estado dice "Esta tarea no se ha ejecutado todavía (0x41303)"

SecureBootEncodeUEFI.exe codifica los certificados de Secure Boot CA UEFI, es una capa más de seguridad añadida, pero en las WU no han debido implementarlo

Si efectúas una programación de tarea no la acepta
La indicada si.:
Sqm-Tasks aparece (aunque en W10 no dispongo de TPM)

Hola a todos,

Aquí estoy otra vez con el visor de eventos. Me está saliendo desde esta mañana un error del TPM (justo después de haber instalado ayer las últimas actualizaciones 26200.6899)



Según Copilot, la actualización ​KB5036210​ soluciona el problema desde Windows Update. No pensaba instalarla al ser una actualización para la 24H2, cuando yo ya tengo la 25H2. Sin embargo, haciendo una búsqueda, he encontrado esta cadena de mensajes del servidor de JM. He seguido la instrucciones de #noSign con un resultado ambiguo. Me explico

En la clave del registro AvailableUpdates de

he puesto el valor 40

Y he creado la tarea programada Secure-Boot-Update. Después del 2º reinicio, el valor de la clave ha vuelto a 0 y la tarea se ha ejecutado sin problemas. Cuando ejecuto en powershell el comando

el valor que devuelve es True. Hasta aquí todo bien.

Pero si miro un poco más abajo en el registro. en

me encuentro 2 variables, una es UEFICA2023Status, que estuvo un ratito con el valor InProgress y después cambió a NotStarted, y la variable WindowsUEFICA2023Capable, que sigue con valor 2. Según Copilot, el valor 2 indica que el sistema es capaz de actualizar la claves UEFI2023, pero aún no lo ha hecho.

Y sobre todo, el error del visor de eventos sigue saliendo. No sé si me he dejado algo del proceso o no lo he entendido bien. He mirado también en Asus, y tengo la última Bios. ¿Se puede hacer algo más o hay que esperar a que Microsoft o Asus actualicen algo?

Gracias por tragaros el rollazo

Repro en el visor de eventos TPM-WMI id 1801

Tienes razón. Lo he comprobado en el portátil de mi mujer (que aún sigue con la 24H2, 26100.6889) y también aparece ese error. En fin, parece que Microsoft vuelve a las cagadas...

Sin embargo hoy el evento
TPM-WMI id 1801

"Este dispositivo ha actualizado la CA o las claves de arranque seguro. Esta información de firma de dispositivo se incluye aquí.:"

Ya no me aparece el error (cruzo los dedos)

Anoche implemente este trick
PowerShell como administrador:


Tarea programada.:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Creo que se actualizan las Keys cada 12 horas, lo apague y hoy funciona.

Pues lo pruebo y te cuento. Esto parece algo general. He encontrado varios mensajes en Microsoft Support con este tema.

Gracias

Cierto, solucionado. Cruzaré yo también los dedos. No he tenido que esperar nada



Gracias