Guida alla scadenza dei certificati di Avvio protetto Microsoft

Questo documento fornisce indicazioni su come aggiornare le istanze Shielded VM di Compute Engine in modo che considerino attendibili i certificati di avvio protetto Microsoft aggiornati per l'avvio protetto UEFI (Unified Extensible Firmware Interface).

L'avvio protetto UEFI è uno standard di sicurezza utilizzato dalle Shielded VM per garantire che durante il processo di avvio della VM vengano eseguiti solo software e firmware attendibili. Per supportare l'avvio protetto su vari sistemi operativi, Microsoft gestisce i seguenti certificati.

Certificati di avvio protetto in scadenza

Per evitare potenziali problemi di avvio, se utilizzi l'avvio protetto sulle istanze di Compute Engine create prima del 7 novembre 2025, devi assicurarti che le istanze abbiano installato i certificati aggiornati. Questo aggiornamento è altrettanto fondamentale per le istanze di calcolo che utilizzano software di crittografia completa del disco (FDE), incluso BitLocker, o la sigillatura dei secret nei registri di configurazione della piattaforma vTPM (PCR). Questa guida descrive come identificare le istanze interessate ed eseguire gli aggiornamenti necessari.

Le istanze di calcolo create a partire dal 7 novembre 2025 includono i certificati aggiornati e non richiedono ulteriori azioni. Inoltre, la scadenza del certificato di avvio protetto non influisce su quanto segue:

• Istanze che non utilizzano i registri di configurazione della piattaforma vTPM (PCR) per la sigillatura dei secret e non hanno l'avvio protetto abilitato. L'avvio protetto non è abilitato per impostazione predefinita quando crei un'istanza Shielded VM.
• Istanze che eseguono Container-Optimized OS (COS).
• Istanze in cui fornisci la tua chiave di piattaforma (PK) o la tua chiave di registrazione (KEK) di avvio protetto.

Per le istanze di calcolo create prima del 7 novembre 2025, la raccomandazione principale è di eseguire la migrazione di queste istanze a nuove istanze create a partire da questa data. Per le istanze di calcolo che non puoi ricreare, Google prevede di fornire istruzioni per l'aggiornamento manuale in questo documento quando saranno disponibili.

In che modo la scadenza del certificato di avvio protetto influisce sulla Shielded VM

Se abilitata, la Shielded VM applica l'avvio protetto utilizzando il firmware UEFI, che gestisce un insieme di certificati attendibili (nella variabile db) per verificare le firme dei file binari della sequenza di avvio. Se, ad esempio, un aggiornamento del sistema operativo sostituisce un bootloader con uno firmato solo da Microsoft UEFI CA 2023 e il firmware dell'istanza di calcolo non considera attendibile questa autorità di certificazione, la verifica dell'avvio protetto non va a buon fine e il processo di avvio viene interrotto.

Per ulteriori dettagli su questa transizione, consulta le indicazioni di Microsoft e di altri fornitori di sistemi operativi:

• Windows Secure Boot certificate expiration and CA updates - Microsoft Support
• Secure Boot Certificate Changes in 2026: Guidance for RHEL Environments - Red Hat Customer Portal

Impatto sul sistema operativo

Se hai abilitato l'avvio protetto su un'istanza Shielded VM creata prima del 7 novembre 2025, devi assicurarti che il sistema operativo guest consideri attendibile il certificato Microsoft UEFI CA 2023. Se non installi i nuovi certificati, l'istanza di calcolo potrebbe riscontrare potenziali problemi di avvio dopo un aggiornamento contenente un bootloader firmato solo dal certificato 2023. Se non intervieni, potresti non essere in grado di applicare nuovi aggiornamenti del bootloader o del kernel contenenti file binari firmati solo con il certificato 2023, il che potrebbe rendere i sistemi più vulnerabili a determinati attacchi. Per le istanze di computing create prima del 7 novembre 2025, se non applichi gli aggiornamenti dei certificati prima della metà del 2026, i clienti Windows potrebbero visualizzare l'ID evento 1801 ("Secure Boot CA/keys need to be updated") nel log eventi di sistema.

• Immagini pubbliche fornite da Google: ti consigliamo di ricreare l'istanza di computing. La ricreazione dell'istanza garantisce che utilizzi per impostazione predefinita il firmware, i certificati e la configurazione del sistema operativo più recenti.
• Aggiornamento manuale: se non puoi ricreare l'istanza, non puoi aggiornare il firmware dell'istanza con i nuovi certificati. Devi attendere che Google fornisca le istruzioni per l'aggiornamento manuale.
• Immagini personalizzate o importate: devi assicurarti che le tue immagini considerino attendibile il certificato Microsoft UEFI CA 2023. Per garantire questa attendibilità, ricrea le immagini personalizzate utilizzando un'immagine di base fornita da Google o distribuisci manualmente i certificati appropriati.

Azioni richieste

Se hai istanze di calcolo create prima del 7 novembre 2025 con l'avvio protetto abilitato o se utilizzano software di crittografia completa del disco (FDE) (incluso BitLocker su Windows e altri FDE su Linux), la modalità di sicurezza virtuale (VSM) su Windows o la sigillatura dei secret nei registri di configurazione della piattaforma vTPM (PCR), devi eseguire le azioni descritte nelle sezioni seguenti. Queste indicazioni si applicano anche se esegui il rollback a un'immagine macchina precedente al 7 novembre 2025.

Importante: se utilizzi software di crittografia completa del disco (FDE), incluso BitLocker, assicurati di avere accesso alle chiavi di ripristino prima di apportare modifiche.

Identificare le istanze di calcolo interessate e pianificare l'aggiornamento

Entro il 24 giugno 2026, ti consigliamo di identificare le istanze di calcolo interessate e di seguire questi passaggi per prepararti all'aggiornamento:

1. Identifica le istanze: puoi utilizzare il gcloud compute instances list comando per identificare le istanze con l'avvio protetto abilitato e create prima della data limite:

   gcloud compute instances list \
   --filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
   --format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT)"
   

2. Garantisci l'integrità dei dati: prima di procedere con qualsiasi modifica, assicurati di avere backup dei dati recenti e accesso a eventuali chiavi di ripristino di crittografia completa del disco (FDE) o BitLocker.

3. Suggerimento: esegui la migrazione a un'istanza di computing creata a partire dal 7 novembre 2025, che include i certificati necessari.

4. Istruzioni per l'aggiornamento manuale: Google prevede di fornire istruzioni per l'aggiornamento manuale dei certificati sulle istanze a lunga esecuzione in questa pagina dopo il completamento dei test e la disponibilità dei comandi necessari. Al momento, Google non consiglia di eseguire l'upgrade manuale dei certificati db o KEK. Attendi ulteriori istruzioni.

Verifica

Dopo aver aggiornato il firmware e il sistema operativo per le istanze di calcolo, puoi verificare che i certificati 2023 siano presenti.

Linux

1. Se efi-readvar non è presente, installa il pacchetto efitools. Per installare su Linux, esegui il comando per la tua distribuzione:

   Debian/Ubuntu

   sudo apt update && sudo apt install efitools
   

   RHEL/CentOS/Fedora

   sudo yum install efitools
   

   SLES

   sudo zypper install efitools
   

2. Controlla la presenza dei certificati nelle variabili KEK e db:

sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
sudo efi-readvar -v db | grep "UEFI CA 2023"

Windows (PowerShell)

Esegui quanto segue in un prompt di PowerShell con privilegi di amministratore. Ogni comando deve restituire True.

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

Risoluzione dei problemi

Se un'istanza non si avvia a causa di un errore di avvio protetto dopo giugno 2026, puoi provare una delle seguenti opzioni per ripristinarla:

• Disabilita temporaneamente l'avvio protetto: in questo modo puoi avviare l'istanza per applicare gli aggiornamenti.

  Nota: la disattivazione dell'avvio protetto modifica i valori PCR (in particolare PCR7), il che potrebbe influire sulla funzionalità di sigillatura dei secret o di crittografia del disco.

  Per disattivare l'avvio protetto, esegui il seguente comando:

  gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot
  

  Dopo l'avvio dell'istanza, applica gli aggiornamenti necessari del sistema operativo e dei componenti di avvio, quindi riattiva l'avvio protetto:

  gcloud compute instances update INSTANCE_NAME --shielded-secure-boot
  

• Ripristina da backup: ripristina l'istanza da un'immagine macchina creata prima dell'inizio dei problemi di avvio.

• Ricrea l'istanza: ricrea l'istanza e recupera i dati da uno snapshot.

Se continui a riscontrare problemi o hai bisogno di assistenza, contatta l'assistenza clienti Google Cloud.

Domande frequenti

Questa sezione fornisce risposte alle domande più comuni sulla scadenza del certificato di avvio protetto Microsoft.

Quando scadono i certificati di avvio protetto?

I certificati di avvio protetto di Microsoft scadranno nel 2026. In particolare:

• I due certificati più importanti che si avvicinano alla fine del ciclo di vita sono Microsoft Corporation UEFI CA 2011 (scade a giugno 2026), che firma i bootloader di terze parti (come Linux Shim), e Microsoft Windows Production PCA 2011 (scade a ottobre 2026), che firma il bootloader di Windows.

La scadenza riguarda sia i clienti Windows che Linux?

Sì, la scadenza riguarda sia i clienti Windows che Linux.

Chi è interessato dalla scadenza del certificato?

Questo problema potrebbe interessare solo i clienti con istanze di calcolo a lunga esecuzione create prima del 7 novembre 2025. Le istanze interessate includono le seguenti:

• VM Linux e Windows con l'avvio protetto abilitato.
• Qualsiasi istanza che utilizza i registri di configurazione della piattaforma vTPM (PCR) per la sigillatura dei secret.
• Istanze di calcolo Windows che utilizzano la crittografia del disco (BitLocker) o la modalità di sicurezza virtuale (VSM).
• VM Linux che utilizzano la crittografia completa del disco (FDE).
• Istanze che eseguono il rollback a un'immagine macchina precedente a novembre 2025.

Chi non è interessato dalla scadenza del certificato?

Non sei interessato se rientri in una delle seguenti categorie:

• Non utilizzi l'avvio protetto, la sigillatura dei secret nei PCR vTPM o la crittografia completa del disco (incluso BitLocker).
• Utilizzi istanze Linux Container-Optimized OS (COS).
• Fornisci la tua chiave di piattaforma (PK) o la tua chiave di registrazione (KEK). Se utilizzi la tua PK o KEK, Compute Engine utilizza le tue chiavi personalizzate, quindi la scadenza dei certificati predefiniti non ti riguarda. Tuttavia, sei responsabile della gestione delle tue chiavi e di assicurarti che i certificati siano aggiornati.

Cosa succede se non intervengo?

Se non intervieni, potresti non essere in grado di applicare nuovi aggiornamenti del bootloader o del kernel contenenti file binari firmati solo con il certificato 2023, il che potrebbe rendere i sistemi più vulnerabili a determinati attacchi. Per le istanze di computing create prima del 7 novembre 2025, se non applichi gli aggiornamenti dei certificati prima della metà del 2026, i clienti Windows potrebbero visualizzare l'ID evento 1801 ("Secure Boot CA/keys need to be updated") nel log eventi di sistema.

Come devo prepararmi alla scadenza del certificato?

Per prepararti, segui questi passaggi:

• Identifica: esegui un audit dell'utilizzo di Shielded VM, avvio protetto, crittografia completa del disco (FDE), BitLocker o qualsiasi software che si basa sui PCR vTPM.
• Chiavi di ripristino e backup: assicurati che le chiavi di ripristino (per FDE/BitLocker) e i backup dei dati più recenti siano disponibili rapidamente.
• Gestisci le immagini: identifica le immagini personalizzate legacy e interrompine l'utilizzo o assicurati che includano i nuovi certificati.
• Esegui la migrazione: valuta la possibilità di ricreare le istanze di computing a lunga esecuzione create prima del 7 novembre 2025, poiché le nuove istanze includono già i certificati necessari.
• Nota: al momento, Google non consiglia di eseguire l'upgrade manuale dei certificati. Attendi le istruzioni future di Google che pubblicheremo in questo documento.

Cosa devo fare se il mio sistema smette di avviarsi dopo giugno 2026?

Se ritieni che questo problema abbia causato un errore di avvio, consulta Risoluzione dei problemi.

Come viene gestita la scadenza dei certificati di avvio protetto Microsoft? Google Cloud

Google Cloud ha incluso automaticamente i nuovi certificati per le istanze di calcolo create dopo il 7 novembre 2025. Solo i clienti che vogliono mantenere in esecuzione le istanze di calcolo precedenti al 7 novembre 2025 potrebbero dover applicare un futuro aggiornamento manuale, ma Google consiglia di eseguire la migrazione a un'istanza creata a partire dal 7 novembre 2025.

Passaggi successivi

• Scopri di più sulle Shielded VM.
• Scopri come modificare le opzioni Shielded VM.
• Scopri di più su Avvio protetto.