Hace pocos dias se dio a conocer la noticia de que a finales de este mes (junio de 2026), el certificado de Microsoft utilizado para firmar digitalmente la capa shim de Linux llegará a su fecha de caducidad. Siendo esta la pieza escencial que permite a las diferentes distribuciones de Linux modernas (como Fedora, Ubuntu o openSUSE) puedan arrancar en equipos con UEFI Secure Boot activado, es normal que la noticia levante ciertas alarmas, sin embargo, los desarrolladores de Fedora han sido muy claros al respecto: no hay motivo para el pánico, tu computadora seguirá arrancando con normalidad.
Para entender por qué no habrá un «apagón» masivo de equipos Linux, hay que comprender cómo funciona la cadena de confianza. Durante el proceso de encendido, el sistema UEFI no comprueba si el certificado ha caducado, ya que su única preocupación es verificar que la firma criptográfica sea válida y que la clave no haya sido explícitamente revocada por estar comprometida. La caducidad del certificado de 2011 simplemente significa que Microsoft ya no podrá usarlo para firmar nuevas versiones del gestor de arranque.
La transición hacia la nueva clave de 2023
Para mantener viva la compatibilidad y asegurar que los sistemas Linux puedan instalarse en hardware moderno, Microsoft generó un nuevo certificado en 2023. La transición a esta nueva llave se ha diseñado para ser totalmente invisible para el usuario.
Actualmente, repositorios como Fedora Rawhide (la base para la futura versión Fedora 45) ya incluyen un gestor de arranque shim con firma dual. Esto significa que está certificado tanto por la clave de 2011 como por la de 2023, garantizando una compatibilidad tanto con computadoras antiguas que no conocen la nueva clave, como con motherboards modernas que ya la traen de fábrica. Eventualmente, las futuras versiones del shim se firmarán exclusivamente con la llave de 2023.
Vulnerabilidades reales: El peligro está en el código antiguo
Lo que realmente puede impedir que un sistema arranque no es la caducidad, sino la revocación mediante la Lista de Revocación de Certificados UEFI (conocida como DBX). Recientemente se publicaron informes de seguridad detallando dos vulnerabilidades críticas (CVE-2026-8863 y CVE-2026-10797) que permiten a un atacante ejecutar código malicioso saltándose la protección de Secure Boot.
Afortunadamente, estos fallos solo afectan a versiones extremadamente antiguas del shim (la versión 0.9 y anteriores, creadas antes de 2016). Las firmas de estas capas vulnerables sí han sido añadidas a la base de datos de firmas prohibidas (DBX). Si tienes un sistema muy desactualizado (como CentOS 7.2 o RHEL 7.2) y tu base de datos UEFI se actualiza, tu equipo dejará de arrancar por motivos de seguridad.
¿Qué debes hacer (y qué NO debes hacer)?
Aunque la caducidad no romperá tu sistema actual, los desarrolladores recomiendan encarecidamente que actualices la base de datos de claves de tu firmware para recibir la nueva clave de 2023 y estar preparado para el futuro. Aquí tienes los comandos para revisar el estado de tu equipo:
Comprobar si usas UEFI o BIOS (Legacy):
[[ -d /sys/firmware/efi ]] || echo BIOSVerificar si Secure Boot está activado:
mokutil --sb-stateListar las claves públicas en el firmware:
mokutil --db --short (Aquí deberías ver la clave de 2011 y, si estás actualizado, la de 2023).Actualizar tu firmware y claves automáticamente:
sudo fwupdmgr update (Descarga las actualizaciones desde el Linux Vendor Firmware Service).Verificar con qué clave está firmado tu shim (requiere el paquete pesign):
sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efiFinalmente, cabe mencionar que los desarrolladores de fedora han dado una advertencia:
No intentes actualizar la base de datos manualmente si no eres un experto, y bajo ninguna circunstancia elimines o revoques la clave de 2011. Esta llave no ha sido comprometida y todavía se utiliza para validar las memorias ROM de tus periféricos (Option ROMs). Si la eliminas, corres el riesgo de que componentes de tu hardware dejen de funcionar y que el sistema no pueda arrancar la versión de firma dual del shim.
Si estas interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...