Microsoft ha annunciato che, a partire dall'aggiornamento di aprile 2026, i driver kernel non certificati verranno bloccati su Windows 11 e Windows Server 2025. La mossa riguarda i driver firmati attraverso il programma cross-signed root, introdotto nei primi anni 2000 e da tempo deprecato, i cui certificati sono già scaduti ma restano ancora largamente riconosciuti come attendibili dal kernel di Windows.
La portata della decisione tocca l'intera filiera dei produttori di hardware e software che operano a livello di kernel, un segmento strategico dell'ecosistema Windows. I driver kernel operano con i privilegi più elevati del sistema operativo: un compromesso a questo livello equivale, di fatto, al controllo completo del dispositivo. Il problema non è tecnico in senso stretto, ma sistemico: per anni, la gestione delle chiavi private associate ai certificati cross-signed è rimasta nelle mani di terze parti, creando un vettore di attacco strutturale.
Secondo quanto dichiarato da Microsoft, questa architettura distribuita "ha portato ad abusi e furti di credenziali che hanno messo a rischio i nostri clienti e le loro piattaforme." Il riferimento è a episodi documentati in cui le chiavi di firma sono state sottratte e utilizzate per distribuire malware firmato digitalmente, aggirando i meccanismi di controllo del sistema operativo.
Per attenuare l'impatto su sistemi legacy, la policy verrà inizialmente distribuita in modalità di valutazione: il kernel monitorerà i caricamenti dei driver senza bloccarli, consentendo agli amministratori di sistema di identificare potenziali problemi di compatibilità prima dell'entrata in vigore definitiva. I driver considerati "essenziali e affidabili" rimarranno temporaneamente nella lista bianca.
La modifica interessa Windows 11 nelle versioni 24H2, 25H2 e 26H1, oltre a Windows Server 2025. Gli amministratori aziendali manterranno la possibilità di autorizzare driver personalizzati tramite la policy Application Control for Business, ma esclusivamente per scenari interni e riservati. La condizione è che la policy sia firmata da un'autorità registrata nelle variabili Secure Boot Platform Key o Key Exchange Key del dispositivo, limitandone l'applicabilità al singolo ambiente aziendale.
Il percorso alternativo ufficiale è la certificazione attraverso il Windows Hardware Compatibility Program (WHCP), il processo attraverso cui Microsoft valida i driver prima della distribuzione tramite il portale Microsoft HDC. Si tratta di un iter che implica costi e tempi non trascurabili, in particolare per i produttori di hardware di nicchia o per quelli che gestiscono dispositivi ormai fuori produzione.
Il nodo critico resta proprio qui: i vendor che non possono o non intendono rinnovare la certificazione lasceranno i propri clienti con hardware non più funzionante dopo aprile 2026. Le soluzioni alternative esistono, ma richiedono competenze tecniche avanzate e configurazioni non alla portata dell'utente medio aziendale.
La mossa di Microsoft si inserisce in una strategia più ampia di consolidamento del controllo sull'ecosistema Windows, dopo che episodi come quello legato a CrowdStrike nel 2024 hanno riportato al centro del dibattito la questione dell'accesso al kernel da parte di software di terze parti. La domanda che resta aperta riguarda le implicazioni competitive: la certificazione WHCP diventa una barriera all'entrata per i produttori minori, rafforzando di fatto la posizione dei grandi player già allineati agli standard Microsoft, con conseguenze che il mercato dovrà ancora misurare appieno.