Elég jól leírtad, hogy mi a bajom vele. Persze, amíg a felhasználó csak az alap use-case-t ismeri belőle, addig nem bonyolult. A baj ott kezdődik, hogy még a magukat "expertnek" gondoló emberek sincsenek tisztában vele, hogy mi minden egyéb felesleges vagy akár kifejezetten ártalmas feature van beleépítve, amik nagyon csúnyán megharaphatnak. Megjegyzem, én sem látom át minden ágát-bogát.
Nekem a felismerés az UEFI aljasságairól akkor kezdődött, amikor volt az a bug, hogy rm -rf /-el téglásítani lehet az alaplapokat, de olyan szinten, hogy csak eeprom programozóval lehet visszaéleszteni. (Én mondjuk sosem így szoktam wipe-olni diszket, tehát nem elsőkézből való a tapasztalat. Nyilván persze azóta a distrokban workaroundolták, hogy már csak read-only-ra mountolják az uefi konfig filerendszert.) De mindenesetre rámutatott, hogy itt a korábbinál sokkal-sokkal intimebb kapcsolat van a bootloader és az oprendszer között még futási időben is.
És akkor még nem beszéltem az ilyen UEFI-re épülő anti-theft megoldásokról, amik az oprendszer kernele alatt is aktívak (SMM-ben) és képesek kinyúlni hálózaton az oprendszer tudta nélkül (ez már nemcsak az intel vpro esetén van így - ami eredetileg nem uefi-s dolog volt, lettek vpro nélküli anti-theft megoldások is). Meg hogy a gép már akkor felcsatlakozik a hálózatra és indít pár hazatelefonálós HTTP request-et, mielőtt az oprendszer egyáltalán elkezdene bootolni. Hivatalosan nyilván csak azért, hogy kiírja, hogy van-e BIOS update. Mivel ezek a remek megoldások főleg notebookokat érintenek és azokon már nem divat a fizikai ethernet port, ezért természetesen ezt wifi-n is megteszik -> a wpa kulcsok/jelszavak nyilván valahol ott figyelnek benn az UEFI firmware-ben is.
EDIT: meg eszembe jutott az a remek eset is, amikor a Lenovo valamelyik notebook sorozatán UEFI payloadba rakott valami "adware"-t, talán Superfish vagy valami ilyesmit, ami clean install ellenére is mindig visszafertőzte a windowst. Aztán csinált magának lokális HTTPS man in the middle proxy-t, hogy így tudjon hirdetést injektálni minden weboldalba, egy beégetett cacerttel (nyilván ehhez lokálisan megvolt a private key is, különben nem működik). Ennél fogva bármelyik ilyen gépről kinyerhető volt a kulcs, amivel az összes többi ilyen gép kívülről támadhatóvá vált. Nyilván linuxot ez pont nem érintette, de az egészet megint egy olyan UEFI feature tette lehetővé, amiről azelőtt kb senki nem is tudott.
A secure boot nem erőltetésével az a probléma, hogy
1) Nem a te döntésed, a vendor eldönti helyetted. A MS ráadásul már kötelező windows követelménnyé tette, szóval a most már a vendor sem dönthet úgy, hogy nem. Hacsaknem valami kifejezetten windows-inkompatibilis cuccot akar forgalmazni (tegye fel a kezét aki látott ilyet :D)
2) az UEFI-be annyi és olyan gázos feature-t pakoltak bele, hogy ideális malware hordozó lett belőle. Egy komplett kulcsrakész rootkit framework áll a támadó rendelkezésére, amibe beköltözni userspace-ből is egyszerű. Gyakorlatilag muszáj secure bootot használnod, hogy esélyed legyen kivédeni azokat a támadási felületeket, amiket az UEFI saját maga hozott létre.