Chave de assinatura do bootloader UEFI Secure Boot da Microsoft expira em 11 de setembro

A chave de assinatura digital da Microsoft utilizada por diversas distribuições Linux para compatibilidade com o recurso Secure Boot expirará em 11 de setembro.

O Secure Boot, presente no firmware UEFI, garante que apenas softwares confiáveis e devidamente assinados possam ser executados durante a inicialização do sistema, incluindo o bootloader.

Como muitos computadores são vendidos com o Windows pré-instalado e com o Secure Boot ativado, sistemas operacionais alternativos precisam que seus bootloaders sejam assinados com uma chave reconhecida — geralmente a da própria Microsoft.

Por isso, projetos Linux frequentemente enviam seus bootloaders para serem assinados pela empresa. Muitas distribuições utilizam o banco de chaves controlado pela Microsoft para viabilizar esse suporte, normalmente com a ajuda de um bootloader intermediário conhecido como shim, que facilita a compatibilidade com o Secure Boot.

A Microsoft deixará de usar a chave atual para assinar novos shims a partir de setembro. Embora uma nova chave esteja disponível desde 2023, ela pode não estar instalada em diversos dispositivos, o que exigiria uma atualização de firmware por parte dos fabricantes — algo que nem sempre ocorre.

Caso necessário, usuários de Linux ainda poderão desativar o Secure Boot, desde que o sistema e o firmware do equipamento permitam essa alteração.