8 de julio de 2025—KB5062553 (compilación del sistema operativo 26100.4652)

Me preocupa el aviso que hay sobre Windows Secure Boot certificate expiration

En el trabajo tengo un W11 Pro, no conectado a dominios ni nada de eso, pero si tiene arranque seguro activado. Viendo el aviso de que caducarán en julio de 2026, he seguido los enlaces, pero no me aclaro bien con los pasos a seguir, y me da miedo cagarla y que el equipo no arranque después.

Alguna ayuda please...

Microsoft ha señalado en KB5036210 que las actualizaciones de Windows del 13 de febrero de 2024 y posteriores instalarán el certificado Windows UEFI CA 2023 en la base de datos de firmas (DB) permitida de arranque seguro UEFI.


Esto permite que las próximas actualizaciones del gestor de arranque se instalen directamente a través de Windows Update.

Como escribe Microsoft, esto es importante "ya que el certificado existente caduca y cambiar al nuevo certificado es el primer paso para preparar los dispositivos
para que funcionen con las próximas actualizaciones del cargador de arranque que se cifrarán con el nuevo certificado".

Tenga en cuenta que algunos dispositivos pueden experimentar problemas de compatibilidad de bases de datos.
Por ejemplo, actualmente los dispositivos basados en ARM64 están excluidos.
Aquí Microsoft trabaja con los fabricantes OEM. Por lo tanto, actualmente las actualizaciones no se entregan automáticamente.

Por lo tanto, en las empresas, el cambio debería probarse primero en un dispositivo seleccionado antes de aplicarse a todos los dispositivos.


Para que los certificados se instalen a través de Windows Update, se debe realizar un cambio en el registro.

Tecla de Windows + R ingresa regedit, ábrelo y cambia a esta ruta.:

Luego haga doble clic en la parte derecha de la ventana AvailableUpdates y cambie el valor a 40.


Esto se puede configurar usando PowerShell
Se debe instalar la actualización de seguridad de febrero de 2024.


Inicie PowerShell (administrador) e ingrese este comando.:

Iniciar una tarea programada de inicio:


Reinicia la PC dos veces
Ahora ingrese el siguiente comando en PowerShell (Administrador):

(en mi caso sin actuar aparece "false" antes de aplicar el trick)


PowerShell ahora debería generar un resultado "True"


Después de reiniciar la computadora dos veces, la entrada del registro se establece nuevamente en 0.
Las nuevas entradas aparecen en el programador de tareas y PowerShell también genera "True".

Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>Secure-Boot-Update
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>SecureBootEncodeUEFI


Esto copia la política de inicio de integridad del código en la partición EFI del dispositivo..:


Luego, el comando lo arma Actualización de mayo de 2023.:
Este comando será necesario después de la actualización de julio de 2023.:
Nota: Siempre que SKUSiPolicy.p7b no se haya ejecutado manualmente y no se haya ejecutado el comando reg, no es necesario actualizar los medios de instalación. Sólo cuando ejecuta ambos comandos sucede que Windows no puede iniciarse desde los archivos de arranque. No deberías hacer eso en este momento. Microsoft apenas está preparando el cambio.
Probando los certificados
Para probar qué certificados utiliza actualmente Windows, puede utilizar PowerShell (administrador).

Certificado antiguo.:



Nuevo certificado.:


Si se genera True para ambos, aún puede iniciar desde un medio de inicio antiguo.

Si solo Windows UEFI CA 2023 está configurado en True, entonces solo funciona sin SecureBoot o con nuevos medios de arranque.



Fuentes.:

Actualización de las claves de arranque seguro de Microsoft


KB5036210: Implementar el certificado de CA 2023 de LA UEFI de Windows en la base de datos de firmas permitidas de arranque seguro (DB)


Cómo administrar las revocaciones de Windows Boot Manager para cambios de arranque seguro asociados con CVE-2023-24932


​

Muchas gracias.

Llegando al paso de comprobar los certificados dice:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows Production PCA 2011'
True

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True

Entiendo entonces que todo está correcto y no habrá problemas en el equipo con el arranque seguro...

Ninguno, recibirás por WU las actualizaciones CA futuras

Gracias

Acabo de comprobar que en el programador de tareas me sale

Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>Secure-Boot-Update <------ ESTA SI

Pero NO la segunda que indicas:
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>SecureBootEncodeUEFI <----- ESTA NO

Pero como el resultado de loa certificados al final están bien, entiendo que no habrá problemas...

Si que me sale otra tarea llamada Sqm-Tasks

Que dice: Esta tarea reúne información acerca del Módulo de plataforma segura (TPM), arranque seguro y arranque medido.

En estado dice "Esta tarea no se ha ejecutado todavía (0x41303)"

SecureBootEncodeUEFI.exe codifica los certificados de Secure Boot CA UEFI, es una capa más de seguridad añadida, pero en las WU no han debido implementarlo

Si efectúas una programación de tarea no la acepta
La indicada si.:
Sqm-Tasks aparece (aunque en W10 no dispongo de TPM)