Windows 11: Secure-Boot-Frist 2026 ist (k)ein hartes Aus

6
News Sven Bauduin Als bevorzugte Quelle auf Google hinzufügen
Windows 11: Secure-Boot-Frist 2026 ist (k)ein hartes Aus
Quelle: Microsoft

Microsoft beantwortet in einer zweiten Fragerunde, was Nutzer vor dem Ablauf des Secure-Boot-Zertifikats am 24. Juni 2026 unternehmen müssen. Der PC bleibt startfähig, ohne neue Schlüssel fehlen jedoch künftige Sicherheitsupdates.

Microsoft hat in einer zweiten Ask Microsoft Anything-Sitzung am 4. Juni 2026 offene Fragen zum auslaufenden Secure-Boot-Zertifikat beantwortet. Im Mittelpunkt steht der Key Exchange Key, dessen Zertifikat Microsoft Corporation KEK CA 2011 am 24. Juni 2026 sein kryptografisches Ablaufdatum erreicht. Wer Windows 11 oder Windows 10 mit aktivem Secure Boot verwendet, sollte den Zertifikatsstatus vorher entsprechend überprüfen. Worum es bei der Secure-Boot-Frist im Juni 2026 geht, hatten wir bereits erklärt, ebenso das Update mit dem neuen KEK-Schlüssel.

Secure Boot für Windows 11: Was der 24. Juni 2026 ändert

Die alten Secure-Boot-Zertifikate stammen aus dem Jahre 2011 und bilden die Vertrauensbasis für den Startvorgang von Windows. Der US-Konzern aus Redmond ersetzt die alte Schlüsselkette durch die neueren Zertifikate aus dem Jahr 2023. Den vollständigen Ablaufplan samt Diagnoseskripten und den Hersteller-Links bündelt Microsoft in seinem Secure-Boot-Playbook innerhalb der Tech-Community.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.
Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

Secure Boot: Der 24. Juni ist (k)ein hartes Aus

Der 24. Juni 2026 stoppt weder den manuellen Zertifikatsweg noch den Startvorgang von Windows-PCs. An diesem Tag läuft allein der KEK-Schlüssel ab. Das dazugehörige DB-Zertifikat bleibt bis Oktober gültig, und sämtliche bereits signierten Update-Pakete inklusive Registrierungsschlüssel und geplanter Aufgabe arbeiten unverändert weiter.

Was endet, ist Microsofts Fähigkeit, neue DBX-Sperrlisten zu signieren, mit denen kompromittierte Bootloader künftig blockiert werden. Ohne den neuen KEK verpasst ein Gerät diese künftigen Sperrlisten und gilt mit der Zeit als unsicherer, bootet aber weiterhin. Microsoft stellt hierzu die nötigen Ressourcen und Guides bereit.

Windows 11 zieht die Zertifikate meist automatisch nach

Das Juni-Update hebt laut Microsoft die große Mehrheit gängiger Windows-11-Geräte in die Stufe hohe Konfidenz. Systeme in dieser Gruppe erhalten die Zertifikate dann automatisch über Windows Update, ohne dass Nutzer eingreifen müssen.

Microsoft sortiert die Geräte dabei nicht nach Modellname, sondern bis hinunter zur Firmware-Version und ihrem Datum. Dieselbe Platine mit abweichendem BIOS-Stand kann daher in einer anderen Gruppe landen als ein scheinbar identisches Gerät.

Ältere Modelle erreichen die Stufe oft schneller, weil ihre kleinere Verbreitung die statistische Sicherheit früher erfüllt.

Secure Boot deaktiviert: Reaktivierung kann den Start blockieren

Bei abgeschaltetem Secure Boot kann Microsoft die Zertifikate nicht aktualisieren, und ein späteres Einschalten kann das System am Booten hindern. Die Firmware verweigert den Zertifikatstausch, solange Secure Boot deaktiviert ist, Windows aktualisiert den Boot-Manager indes auf die 2023-Signatur.

Aktiviert man Secure Boot anschließend wieder, während die Firmware-Vertrauensdatenbank nur das 2011-Zertifikat kennt, passt die Signatur des Boot-Managers nicht mehr zur hinterlegten Schlüsselmenge. Das Resultat ist ein PC, welcher nicht mehr startet und sich nur mit Tastatur vor Ort über die Datei "SecureBootRecovery.efi" wiederherstellen lässt.

Microsoft rät, die Reaktivierung vorab an einem Testgerät zu prüfen, und sammelt die nötigen Schritte unter aka.ms/GetSecureBoot.

Status prüfen: Ereignisanzeige und Registrierungsschlüssel helfen

Die nach TPM-WMI gefilterte Ereignisanzeige zeigt mit den Einträgen 1801, 1802 und 1803, woran ein Gerät beim Zertifikatsupdate hängt.

  • Eintrag 1801 meldet, dass das Update ansteht, aber noch Daten fehlen.
  • 1802 verweist auf ein Firmware-Problem und damit meist auf den Status temporär pausiert, der ein Firmware-Update des Herstellers verlangt.
  • 1803 zeigt eine fehlende PK-signierte KEK-Freigabe an.

Wer die automatische Verteilung nicht abwarten will, erzwingt das Update über den passenden Registrierungsschlüssel oder die Intune-Richtlinie. Derselbe Mechanismus greift unter Windows 10 mit ESU sowie auf Windows Server 2012 und 2012 R2.

Secure-Boot-Frist 2026: Die häufigsten Fragen

Startet mein PC nach dem 24. Juni 2026 noch?

Ja, der PC startet auch nach dem 24. Juni 2026 normal, denn das Ablaufdatum betrifft nur die Signatur neuer Sicherheitsupdates und nicht den eigentlichen Bootvorgang als solches.

Müssen Privatnutzer beim Secure-Boot-Update etwas tun?

In den meisten Fällen nicht, da Windows Update die neuen Secure-Boot-Zertifikate auf Geräten mit hoher Konfidenz automatisch nachzieht.

Was bedeutet der rote Secure-Boot-Hinweis in Windows?

Ein rotes Symbol bei Secure Boot signalisiert, dass dem Gerät die aktuellen 2023-Zertifikate fehlen und es künftige Boot-Sicherheitsupdates nicht mehr erhält.

Betrifft die Secure-Boot-Frist auch Windows 10?

Ja, Windows 10 nutzt im erweiterten Sicherheitsupdate denselben Update-Mechanismus wie Windows 11, da der zugrunde liegende Code identisch ist.

Mitmachen und kommentieren

Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich schon über Ihre Meinung in den Kommentaren zu dieser Meldung. Sollten Sie hingegen noch keinen Extreme-Account haben, laden wir Sie zu einer Registrierung im Forum ein. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln. Folgen Sie gerne PCGH bei 🔈 YouTube oder 💬 WhatsApp und erhalten Sie Neuigkeiten zu CPUs, Grafikkarten und Gaming direkt in Ihrem Feed.

Quelle: Microsoft via Windows Latest

6

    • Kommentare (6)

      Zur Diskussion im Forum
      • Von PC_User_404 Komplett-PC-Aufrüster(in)
        Gefängnis für Cheater.
        Watchdogs, Anonymus.
        Zitieren
      • Von PC_User_404 Komplett-PC-Aufrüster(in)
        Gefängnis für Cheater.
        Watchdogs, Anonymus.
        Zitieren
      • Von T-MAXX Volt-Modder(in)
        Die Secure-Boot-Zertifikats finde ich schon sinnvoll zu installieren. Sicherheit sollte auf jedem System oberste Priorität haben. Seit der damaligen News habe ich alle meine Systeme mit aktuellen Secure-Boot-Zertifikaten installiert.
        Wer es nicht tätigt, muss sich dann auch nicht ärgern, wenn sein System nicht "sauber" läuft.
        Zitieren
      • Von Sajuk Komplett-PC-Aufrüster(in)
        Zitat von BxBender
        Einfach Secure Boot ausmachen und alles läuft und Microsoft meckert nicht.
        Hab nun 1 Jahr Cachy mit drauf und alles in Ordnung.
        Der älteste Rechner ist von 2011, den ich betreibe, alles top.
        Für Windows 11 ist Secure Boot ein fest definiertes Requirement. Es mag sich zwar deaktivieren lassen, genauso wie man die Sache mim TPM 2.0 umgehen kann, aber das fällt einem spätestens beim Update auf die nächste große Version z.B. kommendes 26H2 wieder auf die Füße. Da alle paar Jahre wieder und wieder ein InPlace Upgrade drüber zu jagen mag für Leute hier im Forum noch im Bereich des machbaren zu sein, aber für die ganzen DAU`s da draußen ein Ding der unmöglichkeit. Und wer als "IT Experte" das für andere regelt kann sich darauf einstellen für solche Kisten immer wieder den HelpDesk zu spielen.
        Zitieren
      • Von KingShotgunHobo Freizeitschrauber(in)
        Wird son Bubensahnemoment
        Zitieren
      • Von -nocturne- Komplett-PC-Käufer(in)
        Zitat von BxBender
        Einfach Secure Boot ausmachen und alles läuft und Microsoft meckert nicht.
        Hab nun 1 Jahr Cachy mit drauf und alles in Ordnung.
        Der älteste Rechner ist von 2011, den ich betreibe, alles top.
        Ich nutze unter Arch einen Unified Kernel mit secure boot. Das lässt sich easy einrichten und die Vertrauenskette ist komplett selbstverwaltend. Gerade in jüngster Zeit und mit zunehmender Popularität zeigt sich das auch dramatische Sicherheitslücken im Linux Kernel auftauchen. Und eine zusätzliche Sicherheitsschicht schadet nicht.
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 06/2026 play5 07/2026 N-Zone 06/2026 Linux Magazin 06/2026 LinuxUser 06/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen AGB Inhalt melden Newsletter