Secure Boot: Zertifikate laufen aus, Microsoft reagiert mit Windows-Updates
15 Jahre nach ihrer Einführung laufen die für Secure Boot notwendigen Zertifikate aus. Ohne eine Aktualisierung werden Systeme unsicher. Immerhin: In den meisten Fällen wird das Update automatisch installiert.
Seit 2011 werden die auf Mainboards installierten UEFIs mit kryptografischen Zertifikaten ausgeliefert, die die Nutzung von Secure Boot ermöglichen. Ebendieses Feature wurde von Microsoft mit Windows 8 eingeführt und seitdem in jeder folgenden Betriebssystemversion beibehalten. Beim Systemstart wird Secure Boot als Erstes geladen, stellt die Integrität des Systems fest und lädt anschließend Windows. Das soll verhindern, dass bereits beim Hochfahren Schadcode eingeschleust wird.
Updates für (fast) alle
Damit dieser Prozess korrekt funktioniert, müssen die mitgelieferten Zertifikate aber gültig sein - und bald ist das Ablaufdatum erreicht: Ende Juni 2026 verlieren die Schlüsselcodes laut Microsoft ihre Gültigkeit. Deshalb will das Unternehmen nun per Update gegensteuern. Alle noch aktiv gepflegten Windows-Versionen sollen über das übliche Monatsupdate neue Zertifikate erhalten, die bestehende Systeme fit für die Zukunft machen. Dazu arbeitet Microsoft unter anderem mit den Herstellern von Komplett-PCs zusammen.
Das Gute für die Nutzer: In den meisten Fällen soll dieser Prozess automatisch ablaufen, und viele ab 2025 produzierte Systeme bringen die neuen Secure-Boot-Zertifikate bereits ab Werk mit. Es ist laut Microsoft aber nicht auszuschließen, dass man bei älteren PCs zumindest manchmal selbstständig ein (UEFI-)Update installieren muss. Das soll man dann über das Dienstprogramm Windows-Sicherheit erfahren, das in den kommenden Monaten um entsprechende Hinweise ergänzt wird.
Auch spannend: Windows 11: Bahnt sich das nächste Drama bei Druckertreibern an?
Falls man die neuen Zertifikate nicht automatisch erhält, beispielsweise weil man noch Windows 10 ohne Update-Verlängerung nutzt, soll das betroffene System auch nach Ende Juni wie gewohnt weiterlaufen. Secure Boot wird dadurch aber deaktiviert, was für Onlinespiele wie Battlefield 6 ein Problem werden könnte. Bei einer Deaktivierung steigt auch die Gefahr für eine Schadcode-Einschleusung deutlich an. Betroffene Nutzer sollten sich also im eigenen Interesse darum kümmern, dass die neueren Zertifikate installiert werden.
Haben Sie noch ein Windows-10-System im Einsatz? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Zum Kommentieren müssten Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln.
Quellen: Microsoft via Golem, Techpowerup

Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.
xxx- Befehlen im Terminal und diverse Resets + neuladen im Bios den Kram irgendwann ohne Fehlermeldung hinbekommen.
Da es aber angeblich über Bios updates gehen soll, habe ich es nicht verstanden, ich update das Bios regelmäßig, hätte also aktuelle Daten haben müssen (laut Artikel). Aber irgendwie hat einer der beiden die Daten nicht gefressen, könnte sogar Win 11 gewesen sein, beim Versuch das andere System zu booten...
Wie gesagt, war mein 2ter Versuch überhaupt, Nobara hatte damals gar nicht geklappt (Reset der Einstellungen) vlt. wegen Dualboot und Secure Boot, wer weiß.
Habe aber Win11 die letzten Wochen nicht mehr benutzt und vermisse es aktuell auch nicht, das letzte Mal war vor 3-4 Wochen, als ich die Corsair K100 RGB Tastatur programmieren musste, habe die G-Tasten belegt und im internen Speicher der K100 hinterlegt, dann brauche ich nämlich keinen Linux Treiber (der existiert eh nicht).
Die G910 Tastatur von Logitech ist deswegen weg, das G430 Headset auch schon, immerhin läuft die G502 Hero ohne Probleme mit der RGB Software von Cachy. In Zukunft wird nur noch Linux kompatibel eingekauft.
Mit meinem Asus MoBo waren die Beschreibungen im Bios sehr verwirrend und ich habe nicht wirklich Lust
den ganzen Kram wieder durchkauen zu müssen. Mittlerweile läuft Cachy schon sehr gut, im Zweifel mache
ich SecureBoot für die Zukunft aus, dann kommt das Zweitsystem (Win11) eben weg, nutze es aktuell eh nicht mehr.
Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.
Mit meinem Asus MoBo waren die Beschreibungen im Bios sehr verwirrend und ich habe nicht wirklich Lust
den ganzen Kram wieder durchkauen zu müssen. Mittlerweile läuft Cachy schon sehr gut, im Zweifel mache
ich SecureBoot für die Zukunft aus, dann kommt das Zweitsystem (Win11) eben weg, nutze es aktuell eh nicht mehr.
Woher ich das weiß? Weil es meine Ereignisanzeige zeigt. Siehe hier aber wenn sich im Juni das Secure Boot dann deaktiviert kann ich weiter faul sein statt ins Bios zu gehen und kurz Secure Boot selber zu deaktivieren :-p
[Ins Forum, um diesen Inhalt zu sehen]
Anbei ein zweites Bild eines anderen Systems. Gleiche Meldung im Ereignisprotokoll
https://extreme.pcgameshardware.de/attachments/20260211_221019-jpg.1516465/