Secure Boot: Zertifikate laufen aus, Microsoft reagiert mit Windows-Updates

12
News Valentin Sattler Als bevorzugte Quelle auf Google hinzufügen
Secure Boot: Zertifikate laufen aus, Microsoft reagiert mit Windows-Updates
Quelle: Microsoft

15 Jahre nach ihrer Einführung laufen die für Secure Boot notwendigen Zertifikate aus. Ohne eine Aktualisierung werden Systeme unsicher. Immerhin: In den meisten Fällen wird das Update automatisch installiert.

Seit 2011 werden die auf Mainboards installierten UEFIs mit kryptografischen Zertifikaten ausgeliefert, die die Nutzung von Secure Boot ermöglichen. Ebendieses Feature wurde von Microsoft mit Windows 8 eingeführt und seitdem in jeder folgenden Betriebssystemversion beibehalten. Beim Systemstart wird Secure Boot als Erstes geladen, stellt die Integrität des Systems fest und lädt anschließend Windows. Das soll verhindern, dass bereits beim Hochfahren Schadcode eingeschleust wird.

Updates für (fast) alle

Damit dieser Prozess korrekt funktioniert, müssen die mitgelieferten Zertifikate aber gültig sein - und bald ist das Ablaufdatum erreicht: Ende Juni 2026 verlieren die Schlüsselcodes laut Microsoft ihre Gültigkeit. Deshalb will das Unternehmen nun per Update gegensteuern. Alle noch aktiv gepflegten Windows-Versionen sollen über das übliche Monatsupdate neue Zertifikate erhalten, die bestehende Systeme fit für die Zukunft machen. Dazu arbeitet Microsoft unter anderem mit den Herstellern von Komplett-PCs zusammen.

Das Gute für die Nutzer: In den meisten Fällen soll dieser Prozess automatisch ablaufen, und viele ab 2025 produzierte Systeme bringen die neuen Secure-Boot-Zertifikate bereits ab Werk mit. Es ist laut Microsoft aber nicht auszuschließen, dass man bei älteren PCs zumindest manchmal selbstständig ein (UEFI-)Update installieren muss. Das soll man dann über das Dienstprogramm Windows-Sicherheit erfahren, das in den kommenden Monaten um entsprechende Hinweise ergänzt wird.

Auch spannend: Windows 11: Bahnt sich das nächste Drama bei Druckertreibern an?

Falls man die neuen Zertifikate nicht automatisch erhält, beispielsweise weil man noch Windows 10 ohne Update-Verlängerung nutzt, soll das betroffene System auch nach Ende Juni wie gewohnt weiterlaufen. Secure Boot wird dadurch aber deaktiviert, was für Onlinespiele wie Battlefield 6 ein Problem werden könnte. Bei einer Deaktivierung steigt auch die Gefahr für eine Schadcode-Einschleusung deutlich an. Betroffene Nutzer sollten sich also im eigenen Interesse darum kümmern, dass die neueren Zertifikate installiert werden.

Haben Sie noch ein Windows-10-System im Einsatz? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Zum Kommentieren müssten Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln.

Quellen: Microsoft via Golem, Techpowerup

12
    • Kommentare (12)

      Zur Diskussion im Forum
      • Von h_tobi Kokü-Junkie (m/w)
        Zitat von Capucius
        Bei mir ging es auf Anhieb, was hat denn bei dir nicht geklappt?

        Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.
        Keine Ahnung, war ja ganz am Anfang, Cachy konnte nicht installiert werden oder ähnliches, habe dann mittels KI
        xxx- Befehlen im Terminal und diverse Resets + neuladen im Bios den Kram irgendwann ohne Fehlermeldung hinbekommen.

        Da es aber angeblich über Bios updates gehen soll, habe ich es nicht verstanden, ich update das Bios regelmäßig, hätte also aktuelle Daten haben müssen (laut Artikel). Aber irgendwie hat einer der beiden die Daten nicht gefressen, könnte sogar Win 11 gewesen sein, beim Versuch das andere System zu booten...
        Wie gesagt, war mein 2ter Versuch überhaupt, Nobara hatte damals gar nicht geklappt (Reset der Einstellungen) vlt. wegen Dualboot und Secure Boot, wer weiß.

        Habe aber Win11 die letzten Wochen nicht mehr benutzt und vermisse es aktuell auch nicht, das letzte Mal war vor 3-4 Wochen, als ich die Corsair K100 RGB Tastatur programmieren musste, habe die G-Tasten belegt und im internen Speicher der K100 hinterlegt, dann brauche ich nämlich keinen Linux Treiber (der existiert eh nicht).
        Die G910 Tastatur von Logitech ist deswegen weg, das G430 Headset auch schon, immerhin läuft die G502 Hero ohne Probleme mit der RGB Software von Cachy. In Zukunft wird nur noch Linux kompatibel eingekauft.
      • Von h_tobi Kokü-Junkie (m/w)
        Zitat von Capucius
        Bei mir ging es auf Anhieb, was hat denn bei dir nicht geklappt?

        Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.
        Keine Ahnung, war ja ganz am Anfang, Cachy konnte nicht installiert werden oder ähnliches, habe dann mittels KI
        xxx- Befehlen im Terminal und diverse Resets + neuladen im Bios den Kram irgendwann ohne Fehlermeldung hinbekommen.

        Da es aber angeblich über Bios updates gehen soll, habe ich es nicht verstanden, ich update das Bios regelmäßig, hätte also aktuelle Daten haben müssen (laut Artikel). Aber irgendwie hat einer der beiden die Daten nicht gefressen, könnte sogar Win 11 gewesen sein, beim Versuch das andere System zu booten...
        Wie gesagt, war mein 2ter Versuch überhaupt, Nobara hatte damals gar nicht geklappt (Reset der Einstellungen) vlt. wegen Dualboot und Secure Boot, wer weiß.

        Habe aber Win11 die letzten Wochen nicht mehr benutzt und vermisse es aktuell auch nicht, das letzte Mal war vor 3-4 Wochen, als ich die Corsair K100 RGB Tastatur programmieren musste, habe die G-Tasten belegt und im internen Speicher der K100 hinterlegt, dann brauche ich nämlich keinen Linux Treiber (der existiert eh nicht).
        Die G910 Tastatur von Logitech ist deswegen weg, das G430 Headset auch schon, immerhin läuft die G502 Hero ohne Probleme mit der RGB Software von Cachy. In Zukunft wird nur noch Linux kompatibel eingekauft.
      • Von BxBender Volt-Modder(in)
        na immerhin sorgt das dann ja mal für durchgeführte Zwangsupdates ^^
      • Von Capucius Software-Overclocker(in)
        Zitat von h_tobi
        Das Prozedere musste ich auch durchgehen, wobei es erst nach einigen Versuchen geklappt hat.
        Mit meinem Asus MoBo waren die Beschreibungen im Bios sehr verwirrend und ich habe nicht wirklich Lust
        den ganzen Kram wieder durchkauen zu müssen. Mittlerweile läuft Cachy schon sehr gut, im Zweifel mache
        ich SecureBoot für die Zukunft aus, dann kommt das Zweitsystem (Win11) eben weg, nutze es aktuell eh nicht mehr.
        Bei mir ging es auf Anhieb, was hat denn bei dir nicht geklappt?

        Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.
      • Von h_tobi Kokü-Junkie (m/w)
        Zitat von Capucius
        Ich habe vor kurzem erst bei CachyOS den Signierungsprozess von Hand gemacht, also UEFI in den Setup Mode und dann die boot-Dateien mit sbctl mit den von MS gelieferten Keys signieren. Ich denke dieser Prozess bleibt gleich, es werden halt nur neue Keys von MS benötigt.
        Das Prozedere musste ich auch durchgehen, wobei es erst nach einigen Versuchen geklappt hat.
        Mit meinem Asus MoBo waren die Beschreibungen im Bios sehr verwirrend und ich habe nicht wirklich Lust
        den ganzen Kram wieder durchkauen zu müssen. Mittlerweile läuft Cachy schon sehr gut, im Zweifel mache
        ich SecureBoot für die Zukunft aus, dann kommt das Zweitsystem (Win11) eben weg, nutze es aktuell eh nicht mehr.
      • Von Black_Beetle Software-Overclocker(in)
        Das ist nicht ganz korrekt dass durch Windows Updates die Zertifikate aktiviert werden denn es muss zwingend erstmal Secure Boot manuell deaktiviert werden anschließend das Windows neu gestartet werden damit die Zertifikate platziert werden. Danach kann man Secure Boot wieder aktivieren.

        Woher ich das weiß? Weil es meine Ereignisanzeige zeigt. Siehe hier aber wenn sich im Juni das Secure Boot dann deaktiviert kann ich weiter faul sein statt ins Bios zu gehen und kurz Secure Boot selber zu deaktivieren :-p
        [Ins Forum, um diesen Inhalt zu sehen]

        Anbei ein zweites Bild eines anderen Systems. Gleiche Meldung im Ereignisprotokoll
        https://extreme.pcgameshardware.de/attachments/20260211_221019-jpg.1516465/
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 08/2026 play5 08/2026 N-Zone 08/2026 Linux Magazin 08/2026 LinuxUser 08/2026 Raspberry Pi Geek 09/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk