Em 11 de setembro de 2025, a chave de assinatura do bootloader UEFI Secure Boot da Microsoft, usada por diversas distribuições Linux, expirará, potencialmente causando problemas para usuários que dependem desse recurso de segurança. A informação, publicada pela Tom’s Hardware em 22 de julho de 2025, destaca que a chave Microsoft UEFI CA 2011, essencial para validar bootloaders como o shim em sistemas Linux, não será mais usada para assinar novos binários após essa data. Embora a Microsoft tenha emitido uma nova chave, a Windows UEFI CA 2023, desde fevereiro de 2024, sua adoção ainda é limitada, exigindo atualizações de firmware que nem todos os fabricantes (OEMs) podem fornecer, conforme relatado pela LWN. Esse cenário pode deixar sistemas Linux incapazes de inicializar com o Secure Boot ativado, a menos que ações sejam tomadas por usuários e distribuições.
O Secure Boot, parte do padrão UEFI (Unified Extensible Firmware Interface), verifica a autenticidade de bootloaders e outros componentes antes da inicialização do sistema operacional, protegendo contra malware como bootkits. Introduzido no Windows 8 em 2012, ele depende de um conjunto de certificados armazenados no firmware, incluindo a Microsoft UEFI CA 2011, que assina o shim – um bootloader de primeiro estágio usado por distribuições como Ubuntu, Fedora e Debian para suportar o Secure Boot. “A expiração da chave de 2011 pode exigir que os usuários desativem o Secure Boot ou atualizem manualmente as chaves no firmware”, afirmou a LWN em um artigo de 15 de julho de 2025, destacando que a nova chave de 2023 nem sempre está presente nos sistemas, especialmente em dispositivos mais antigos.
A Microsoft iniciou a transição para a Windows UEFI CA 2023, conforme detalhado no Windows IT Pro Blog em 14 de fevereiro de 2024. A atualização do banco de dados de assinaturas permitidas (DB) começou a ser implementada em fases a partir de abril de 2024, mas depende de atualizações de firmware pelos OEMs ou da inclusão manual da nova chave no banco de chaves de inscrição (KEK). Um post no X de @BotDeschamps, em 23 de julho de 2025, alertou que “muitos sistemas podem não receber essas atualizações, deixando os usuários Linux à mercê dos fabricantes”. A Microsoft também informou, em um artigo de suporte (KB5036210), que a atualização do DB é opcional e deve ser testada cuidadosamente para evitar problemas de compatibilidade, como falhas no BitLocker ou inicialização.
Para usuários Linux, o impacto é significativo. O shim, assinado pela Microsoft, permite que distribuições carreguem seus próprios bootloaders (como GRUB) sem violar o Secure Boot. Após 11 de setembro, sistemas sem a nova chave de 2023 podem exibir erros como “Invalid signature detected” ao tentar inicializar, conforme descrito no ArchWiki. Soluções incluem desativar o Secure Boot no UEFI, o que aumenta o risco de ataques de bootkit, ou registrar chaves personalizadas, um processo complexo que exige acesso ao firmware e ferramentas como sbsiglist, segundo a Debian Wiki. Um usuário no Hacker News, em 18 de julho de 2025, sugeriu “substituir as chaves padrão da Microsoft por chaves de distribuições Linux via USB”, mas isso pode invalidar a inicialização do Windows em sistemas de dual-boot.
Nem todos os sistemas serão afetados igualmente. Novos dispositivos Copilot+ PC de 2025 já incluem a chave de 2023, conforme confirmado pela Born’s IT and Windows Blog. Além disso, a Microsoft planeja continuar atualizando o banco de assinaturas proibidas (DBX) até junho de 2026, quando a Microsoft Corporation KEK CA 2011 também expirará, segundo o Microsoft Support. Para usuários Linux, distribuições como Ubuntu e Fedora, que usam o shim, estão trabalhando em atualizações para adotar a nova chave, mas a dependência de suporte OEM permanece um obstáculo. Um artigo da WebProNews, de 22 de julho de 2025, destacou que “a falta de atualizações de firmware para dispositivos mais antigos pode forçar os usuários a escolher entre segurança e funcionalidade”.
A transparência é crucial: todas as informações foram verificadas em fontes confiáveis, incluindo Tom’s Hardware, LWN, Windows IT Pro Blog, Microsoft Support, ArchWiki, Debian Wiki, WebProNews e Born’s IT and Windows Blog. A expiração da chave é confirmada, mas a extensão do impacto depende da adoção da nova chave pelos OEMs e da ação dos usuários. Embora a Microsoft tenha fornecido orientações para mitigar o problema, como a criação de mídia de recuperação assinada com a chave de 2023, a complexidade pode desafiar usuários menos técnicos.
O que você acha dos desafios que a expiração da chave Secure Boot traz para os usuários Linux? Deixe seu comentário e compartilhe como isso pode afetar sua experiência com o sistema!
Fontes: Tom’s Hardware, LWN, Windows IT Pro Blog, Microsoft Support, ArchWiki, Debian Wiki, WebProNews, Born’s IT and Windows Blog, X posts de @BotDeschamps e @anjbryant
Portuguese 
English