Home Chi Sono
Servizi
WordPress Sviluppo Web Server & Hosting Assistenza Tecnica Windows Android
Blog
Tutti gli Articoli WordPress Hosting Plesk Assistenza Computer Windows Android A.I.
Contatti

Come Gestisco Windows 10/11 Extended Security Updates e Secure Boot Certificate Expiration nel 2026: La Mia Guida Completa per Aziende

Come Gestisco Windows 10/11 Extended Security Updates e Secure Boot Certificate Expiration nel 2026: La Mia Guida Completa per Aziende

Se gestisci un parco macchine aziendale con Windows 10 o Windows 11, il 2026 è un anno che devi affrontare con una pianificazione chirurgica. Da un lato c’è la scadenza del programma Extended Security Updates (ESU) per Windows 10, dall’altro l’urgenza della Secure Boot Certificate Expiration prevista per giugno 2026. Nella mia esperienza come System Administrator, ho visto troppe aziende rimandare queste scadenze fino all’ultimo momento, ritrovandosi poi con macchine vulnerabili e problemi di compliance.

In questo articolo vi mostro come sto gestendo entrambe le problematiche nei miei ambienti di produzione: dal programma ESU con i suoi costi crescenti, alla sostituzione dei certificati Secure Boot 2011 con quelli 2023. Vi fornirò comandi PowerShell pratici, checklist operative e una roadmap chiara per non farvi cogliere impreparati.

Il contesto è semplice: Microsoft ha terminato il supporto ufficiale per Windows 10 il 14 ottobre 2025. Chi non è ancora migrato a Windows 11 ha a disposizione il programma ESU come ponte temporaneo. Parallelamente, i certificati Secure Boot originali del 2011 stanno scadendo e devono essere aggiornati prima di giugno 2026 per evitare problemi di avvio e sicurezza. Vediamo come affrontare tutto questo.

Cos’è il Programma Windows 10 Extended Security Updates (ESU) nel 2026

Il programma Extended Security Updates è l’opzione offerta da Microsoft per continuare a ricevere aggiornamenti di sicurezza critici e importanti su dispositivi che ancora eseguono Windows 10 dopo la fine del supporto. È fondamentale capire che ESU fornisce solo patch di sicurezza: niente nuove funzionalità, niente fix di qualità, niente supporto tecnico incluso.

Per i consumer (Windows 10 Home/Pro non gestito), il programma ESU termina il 13 ottobre 2026. L’iscrizione può avvenire in tre modi: gratuitamente sincronizzando le impostazioni del PC con un account Microsoft, riscattando 1.000 punti Microsoft Rewards, oppure con un acquisto una tantum di $30 USD. La licenza consumer copre fino a 10 dispositivi.

Per le aziende, la situazione è più articolata. L’ESU enterprise è acquistabile tramite il Microsoft Volume Licensing Program e ha una struttura di costi progressiva pensata per incentivare la migrazione:

  • Anno 1 (Nov 2025 – Ott 2026): $61 USD per dispositivo
  • Anno 2 (Ott 2026 – Ott 2027): $122 USD per dispositivo (il prezzo raddoppia)
  • Anno 3 (Ott 2027 – Ott 2028): $244 USD per dispositivo (raddoppia ancora)

Il costo totale per 3 anni ammonta quindi a $427 per dispositivo. Chi usa Microsoft Intune o Windows Autopatch può ottenere uno sconto significativo: $45 + $90 + $180 = $315 per dispositivo su 3 anni. Un dettaglio importante: le licenze ESU sono cumulative. Se decidete di iscrivervi al secondo anno, dovete pagare retroattivamente anche il primo.

Nuove Versioni Windows Incluse nel Programma ESU dal 2026

A febbraio 2026 Microsoft ha annunciato l’estensione del programma ESU ad altre versioni legacy di Windows. In particolare:

  • Windows 10 Enterprise LTSB 2016 — fine supporto: 13 ottobre 2026
  • Windows 10 IoT Enterprise 2016 LTSB — fine supporto: 13 ottobre 2026
  • Windows Server 2016 — fine supporto: 12 gennaio 2027

Per queste versioni, Microsoft offre fino a 3 anni di ESU a pagamento con la stessa struttura di costi raddoppiati. La raccomandazione ufficiale è di migrare a Windows 11 Enterprise LTSC 2024 sui dispositivi compatibili, oppure a Windows 10 Enterprise LTSC 2021 se l’hardware non supporta Windows 11. Per i server, l’indicazione è passare a Windows Server 2025.

Secure Boot Certificate Expiration Giugno 2026: Il Problema Reale

Questa è la parte che all’inizio mi ha creato più preoccupazione. I certificati originali di Secure Boot, introdotti nel 2011 con Windows 8, iniziano a scadere a fine giugno 2026. Si tratta dei certificati che il firmware UEFI usa durante l’avvio per verificare che il boot loader di Windows sia affidabile.

I tre certificati in scadenza sono:

  • Microsoft Corporation KEK CA 2011
  • Microsoft Windows Production PCA 2011
  • Microsoft Corporation UEFI CA 2011

La scadenza avverrà in due ondate: giugno 2026 e ottobre 2026. Microsoft li sta sostituendo con una nuova famiglia di certificati del 2023, tra cui il Windows UEFI CA 2023, il Microsoft UEFI CA 2023 e il Microsoft Option ROM UEFI CA 2023.

Cosa Succede se Non Aggiorni i Certificati Secure Boot

Una cosa che ho verificato direttamente: se un dispositivo non riceve i nuovi certificati prima della scadenza, il PC continuerà a funzionare normalmente e il software esistente continuerà a girare. Tuttavia, il dispositivo entrerà in uno stato di sicurezza degradato che limita la possibilità di ricevere future protezioni a livello di boot.

In pratica: non potrai più installare aggiornamenti di sicurezza per il Windows Boot Manager, non riceverai aggiornamenti ai database Secure Boot, alle revocation list, e alle mitigazioni per nuove vulnerabilità a livello di boot. Col tempo, questo può portare anche a problemi di compatibilità, con sistemi operativi, firmware, hardware o software dipendenti da Secure Boot che potrebbero non caricarsi più.

Se avete seguito la vicenda del bootkit BlackLotus (CVE-2023-24932), saprete che Microsoft ha dovuto revocare componenti di boot vulnerabili e inasprire i requisiti Secure Boot. I nuovi certificati 2023 sono diventati fondamentali per le revocation e le protezioni future. Come ho già trattato nel mio articolo sull’aggiornamento Windows di febbraio 2026 con i certificati Secure Boot 2023, questa transizione è iniziata da mesi, ma ora siamo nella fase critica.

Come Verifico se i Certificati Secure Boot 2023 Sono Già Installati

Ecco la parte pratica che mi ha fatto risparmiare ore di lavoro. Potete verificare la presenza del certificato Windows UEFI CA 2023 con un semplice comando PowerShell, da eseguire come Amministratore:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Il comando restituirà:

  • True: il certificato Windows UEFI CA 2023 è già presente nel database Secure Boot attivo. Il sistema è pronto.
  • False: il dispositivo non ha ancora ricevuto il certificato. Non è un errore: il PC è semplicemente in attesa del suo turno nel rollout.

Per controllare anche il database di default (utile per capire se il firmware OEM include già i nuovi certificati):

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

Per verificare che Secure Boot sia effettivamente abilitato:

Confirm-SecureBootUEFI

Un altro metodo utile che ho scoperto è controllare la firma del boot manager corrente:

(Get-AuthenticodeSignature "C:WindowsBootEFIbootmgfw.efi").SignerCertificate | Format-List Subject, Issuer, NotAfter

Se Issuer mostra ancora “Microsoft Windows Production PCA 2011”, il boot manager non è ancora stato aggiornato alla versione firmata con il certificato 2023.

Attenzione agli Errori nell’Event Viewer

Dopo l’installazione del Patch Tuesday di febbraio 2026, molti utenti Windows 11 hanno iniziato a vedere errori Event ID 1801 nel Visualizzatore eventi (sorgente TPM-WMI). Niente panico: questo evento indica che i certificati sono disponibili a livello di sistema operativo ma non ancora applicati al firmware. È una fase normale del rollout.

Nella mia esperienza, è possibile vedere “True” nel comando PowerShell mentre l’Event Viewer mostra ancora warning. L’aggiornamento a livello OS può arrivare prima, mentre la scrittura nel firmware avviene dopo uno o più riavvii. Se PowerShell restituisce True, potete ignorare tranquillamente i log dell’Event Viewer.

Checklist Operativa per Amministratori di Sistema

Ecco la checklist che sto seguendo personalmente per gestire sia l’ESU che i certificati Secure Boot nelle aziende che seguo:

Per la Gestione ESU Windows 10

  1. Inventario dei dispositivi: identificate tutti i PC che eseguono ancora Windows 10 e classificateli per edizione (Home, Pro, Enterprise, LTSC)
  2. Valutazione hardware: verificate quanti dispositivi soddisfano i requisiti di Windows 11 (TPM 2.0, CPU compatibile, Secure Boot)
  3. Calcolo dei costi: per un parco di 100 dispositivi, il costo ESU su 3 anni è di $42.700 (standard) o $31.500 (con Intune). Confrontatelo con il costo di nuove licenze o hardware Windows 11
  4. Strategia ibrida: migrate subito i dispositivi compatibili con Windows 11, iscrivete in ESU solo quelli che non possono essere aggiornati nell’immediato
  5. Pianificate la migrazione: ESU è un ponte, non una destinazione. Il programma termina definitivamente nell’ottobre 2028 per le aziende

Per l’Aggiornamento dei Certificati Secure Boot

  1. Verificate Secure Boot: eseguite Confirm-SecureBootUEFI su tutti i dispositivi gestiti
  2. Controllate il certificato 2023: usate il comando PowerShell con Get-SecureBootUEFI per verificare la presenza del certificato nella DB attiva
  3. Installate tutti gli aggiornamenti Windows pendenti: Microsoft sta distribuendo i nuovi certificati tramite i cumulative update mensili. Il KB5077241 di marzo 2026 include l’ultima fase di rollout
  4. Aggiornate il firmware UEFI/BIOS: controllate il sito del produttore (Dell, HP, Lenovo, ASUS) per firmware update specifici che iniettano i nuovi certificati
  5. Salvate le chiavi BitLocker: prima di qualsiasi aggiornamento firmware, assicuratevi di avere il recovery key di BitLocker a portata di mano. Dopo un aggiornamento BIOS potreste essere invitati a inserirlo
  6. Per ambienti gestiti con WSUS/Intune: approvate manualmente il KB5062710 e monitorate lo stato di deployment con script PowerShell centralizzati

Per chi gestisce anche ambienti virtuali, ricordate che le VM Hyper-V Generation 2 con Secure Boot abilitato seguono lo stesso modello di trust. Le VM che non ricevono i certificati aggiornati avranno gli stessi problemi dell’hardware fisico. Inoltre, alcune segnalazioni indicano che gli Hyper-V guest non supportano ancora l’aggiornamento dei certificati, quindi monitorate attentamente questa situazione.

Impatto su Dual Boot e Sistemi Linux

Un aspetto che ho dovuto verificare personalmente: la scadenza dei certificati Secure Boot impatta anche i sistemi Linux in dual boot e i server con bootloader di terze parti. Tutti i bootloader di terze parti sono firmati dalla CA Microsoft, e se Secure Boot è abilitato, la scadenza del certificato può impedire l’aggiornamento del bootloader.

Per i sistemi RHEL, Red Hat ha confermato che i sistemi già installati con il certificato 2011 nella DB continueranno ad avviarsi dopo il 27 giugno 2026. La scadenza impatta solo la possibilità di firmare nuovi binari. Red Hat sta preparando nuovi shim firmati con il certificato 2023 a partire da RHEL 9.7.

Per chi gestisce server Plesk su hardware dedicato con Secure Boot abilitato, verificate che il firmware sia aggiornato e che i certificati 2023 siano presenti prima della scadenza.

Costi ESU vs Upgrade a Windows 11: La Mia Analisi

Ho fatto i conti per diversi clienti e la conclusione è chiara: per la maggior parte delle organizzazioni con più di 50 dispositivi, l’upgrade a Windows 11 è più conveniente del programma ESU su 3 anni. Ecco un confronto rapido:

  • ESU 3 anni (100 dispositivi): $42.700 (standard) oppure $31.500 (Intune)
  • Licenze Windows 11 Pro (100 dispositivi con hardware compatibile): $2.500–$4.000 (upgrade OEM)
  • Hardware nuovo + Windows 11 (100 dispositivi): variabile, ma l’investimento include hardware moderno con 5+ anni di supporto

Per chi è interessato alla gestione ottimale dell’infrastruttura aziendale, ho approfondito anche la progettazione di infrastrutture AI-Ready nel 2026 che possono integrarsi con la migrazione a Windows 11.

Il punto chiave è questo: ESU è incluso senza costi aggiuntivi per chi utilizza Windows 365, Azure Virtual Desktop e altri servizi Azure. Se state già valutando una strategia cloud, questa potrebbe essere la soluzione più efficiente. Ma attenzione: Windows 365 costa $20–66 per utente/mese a seconda della configurazione, quindi non è un’alternativa economica all’ESU se non state già pianificando una migrazione al cloud desktop.

FAQ

Quando scade definitivamente il programma ESU per Windows 10?

Per i consumer (Home/Pro), il programma ESU termina il 13 ottobre 2026. Per le aziende, è possibile estendere fino a 3 anni, con l’ultima data possibile fissata al 13 ottobre 2028. Dopo queste date, Windows 10 non riceverà più alcun aggiornamento di sicurezza, indipendentemente dal pagamento.

Cosa succede se non aggiorno i certificati Secure Boot prima di giugno 2026?

Il PC continuerà a funzionare e il software esistente girerà normalmente. Tuttavia, il dispositivo non potrà più ricevere protezioni di sicurezza a livello di boot, inclusi aggiornamenti al Windows Boot Manager, alle revocation list e alle mitigazioni per vulnerabilità boot-level. Col tempo possono emergere anche problemi di compatibilità con firmware e software più recenti.

Come verifico se il mio PC ha già i certificati Secure Boot 2023?

Aprite PowerShell come Amministratore ed eseguite: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Se restituisce True, il certificato è presente e il sistema è pronto. Se restituisce False, mantenete Windows Update attivo e controllate gli aggiornamenti firmware del vostro produttore hardware.

Le licenze ESU enterprise sono cumulabili? Cosa succede se salto il primo anno?

Sì, le licenze ESU sono cumulative. Se decidete di iscrivervi al secondo anno ($122/dispositivo), dovrete pagare retroattivamente anche il primo anno ($61/dispositivo), per un totale di $183 per dispositivo. Questo vale per tutti e tre gli anni del programma.

I sistemi in dual boot con Linux sono impattati dalla scadenza Secure Boot?

Sì, potenzialmente. I bootloader Linux come shim sono firmati dalla CA Microsoft. I sistemi già installati continueranno ad avviarsi, ma non sarà possibile firmare nuovi binari con il certificato scaduto. Le distribuzioni stanno preparando nuovi shim firmati con il certificato 2023. Controllate la documentazione del vostro vendor Linux per le istruzioni specifiche.

Conclusione: Agire Ora sulla Sicurezza Windows 2026

La combinazione tra Extended Security Updates in scadenza e Secure Boot Certificate Expiration di giugno 2026 rende questo anno uno dei più critici per la gestione dell’infrastruttura Windows aziendale. Nella mia esperienza, le organizzazioni che hanno iniziato a pianificare la migrazione già nel 2025 sono in una posizione molto migliore rispetto a chi sta ancora temporeggiando.

Il mio consiglio è chiaro: non trattate l’ESU come una soluzione permanente. Usatelo come ponte mentre migrate i dispositivi compatibili a Windows 11. Contemporaneamente, verificate subito lo stato dei certificati Secure Boot su tutta la vostra flotta con i comandi PowerShell che vi ho mostrato. Se gestite ambienti con WSUS o Intune, automatizzate questa verifica e create report centralizzati.

Se volete approfondire la gestione della sicurezza in ambito aziendale, vi consiglio anche il mio articolo sulla conformità alla Direttiva NIS2 per server Plesk e quello sulla protezione WordPress dalle vulnerabilità plugin, perché la sicurezza non si ferma al sistema operativo.

Come sempre, se avete domande o volete condividere la vostra esperienza con la migrazione ESU o l’aggiornamento dei certificati Secure Boot, lasciate un commento qui sotto. Mi fa sempre piacere confrontarmi con altri professionisti IT che affrontano queste stesse sfide quotidianamente.

Share: