La clave raíz de Microsoft UEFI CA 2011 expira sin causar incidentes en Linux

Fuentes: Microsoft UEFI CA 2011 root certificate expires smoothly

El 27 de junio de 2026 expiró, como estaba previsto, el certificado raíz de Microsoft UEFI CA 2011, utilizado durante más de una década para firmar el binario shim, el componente que permite arrancar distribuciones de Linux en equipos con Secure Boot. El autor del blog, Steve McIntyre, desarrollador veterano de Debian, confirma que el apagado se produjo sin percances y bromea con que "el mundo no se ha acabado".

Según explica, tras meses de negociaciones se logró que Debian y otras distribuciones publicasen nuevos binarios shim firmados simultáneamente con la antigua y la nueva autoridad de certificación. El equipo de revisión de shim aceptó 21 revisiones desde mayo, un esfuerzo coordinado que garantiza la continuidad del arranque seguro en Linux. Aunque no todas las distribuciones han desplegado aún sus shims, se espera que lo hagan en las próximas semanas.

Debian ya dispone de uno de estos shims duales en las ramas unstable y testing (Forky). En pocas semanas se distribuirán binarios equivalentes en las próximas actualizaciones puntuales de Debian 12 (bookworm) y Debian 13 (trixie), junto con una nueva versión de fwupd para mantener la cadena de confianza al día.