Secure Boot Zertifikate laufen 2026 ab — Was IT-Admins tun müssen

Secure Boot Zertifikate

Diesen Post teilen:

Vier zentrale Microsoft-Zertifikate für Secure Boot laufen ab Juni 2026 aus. Geräte ohne die neuen 2023er-Ersatzzertifikate verlieren kritische Schutzfunktionen im Boot-Prozess — darunter Sicherheitsupdates für den Windows Boot Manager, DB/DBX-Revisionen und Schutz vor neu entdeckten Boot-Chain-Schwachstellen. Wer seine Secure Boot Zertifikate nicht rechtzeitig aktualisiert, riskiert wachsende Sicherheitslücken in der gesamten Startumgebung.

TL;DR: Microsoft ersetzt vier ablaufende Secure Boot Zertifikate aus 2011 durch neue 2023er-Versionen. Private Windows-PCs erhalten die Updates automatisch. In Unternehmensumgebungen müssen IT-Admins den Rollout manuell prüfen und bei Bedarf anstoßen — wir zeigen, wie das in fünf Schritten gelingt.

➡️ Erfahren Sie mehr über unsere Managed Services

Welche Zertifikate sind betroffen?

Microsoft hat 2011 vier Zertifikate ausgestellt, die den gesamten Secure Boot Prozess absichern. Diese laufen nach 15 Jahren Laufzeit aus:

ZertifikatAblaufdatumFunktion
Microsoft Corporation KEK CA 2011Juni 2026Signiert DB/DBX-Updates
Microsoft Windows Production PCA 2011Oktober 2026Signiert den Windows Boot Loader
Microsoft UEFI CA 2011Juni 2026Signiert Drittanbieter-Boot-Loader
Microsoft UEFI CA 2011 (Option ROM)Juni 2026Signiert Drittanbieter Option ROMs

Als Ersatz stehen seit 2023 aktualisierte Zertifikate bereit:

  • KEK-Speicher: Microsoft Corporation KEK 2K CA 2023
  • DB-Speicher: Windows UEFI CA 2023, Microsoft UEFI CA 2023, Microsoft Option ROM UEFI CA 2023

Was passiert, wenn die Zertifikate ablaufen?

Betroffene Geräte funktionieren weiterhin und erhalten reguläre Windows-Updates. Allerdings verlieren sie den Zugang zu neuen Sicherheitsmechanismen für den frühen Boot-Prozess. Konkret bedeutet das:

  • Keine neuen Windows Boot Manager Schutzfunktionen
  • Keine Secure Boot DB/DBX-Revisionen und Revocation Lists
  • Keine Mitigations für neu entdeckte Boot-Chain-Schwachstellen
  • Einschränkungen bei BitLocker-Hardening und Drittanbieter-Bootloader-Szenarien

Vereinfacht gesagt: Ihr System startet zwar noch, aber der Schutzschild beim Hochfahren wird zunehmend löchrig — ohne dass Sie es direkt bemerken.

Wer muss handeln?

Privatanwender erhalten die neuen Zertifikate automatisch über Windows Update. Hier besteht in der Regel kein Handlungsbedarf.

Unternehmen und IT-Abteilungen müssen aktiv werden, besonders wenn sie Updates über WSUS, Intune oder Group Policy steuern. Dieses Problem betrifft auch die von uns betreuten Umgebungen — deshalb haben wir bei unseren Managed-Service-Kunden bereits mit der systematischen Prüfung begonnen.

Secure Boot Zertifikate prüfen und aktualisieren — 5 Schritte

Hinweis: Registry-Änderungen können das Systemverhalten beeinflussen. Testen Sie die Schritte zunächst auf einem einzelnen Gerät, bevor Sie einen breiten Rollout starten.

Schritt 1: Aktuellen Servicing-Status sicherstellen

Stellen Sie sicher, dass Ihre Geräte monatliche kumulative Updates auf unterstützten Windows-Baselines erhalten. Nur Geräte mit aktuellem Patchstand können die neuen Zertifikate installieren.

Schritt 2: Update-Status per PowerShell prüfen

Öffnen Sie eine PowerShell-Konsole mit Administratorrechten und führen Sie folgenden Befehl aus:

PowerShell Block
Windows PowerShell
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name UEFICA2023Status,UEFICA2023Error | Select UEFICA2023Status,UEFICA2023Error

Die erwartete Progression des Status-Werts: NotStartedInProgressUpdated

Schritt 3: Scheduled Task prüfen

Prüfen Sie, ob der zugehörige Scheduled Task existiert:

PowerShell Block
Windows PowerShell
Get-ScheduledTask -TaskPath "\Microsoft\Windows\PI\" -TaskName "Secure-Boot-Update"

Falls der Task vorhanden ist, wird das Update beim nächsten Neustart automatisch verarbeitet.

Schritt 4: Update manuell anstoßen (zum Testen)

Setzen Sie das Registry-Flag und starten Sie den Task manuell:

PowerShell Block
Windows PowerShell
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskPath "\Microsoft\Windows\PI\" -TaskName "Secure-Boot-Update"

Nach einem Neustart werden die neuen Zertifikate in den Secure Boot Speicher geschrieben.

Schritt 5: Erfolg validieren

Führen Sie den PowerShell-Befehl aus Schritt 2 erneut aus. Der Wert UEFICA2023Status sollte jetzt Updated zeigen.

Fazit: Jetzt handeln, nicht erst im Juni

Die Secure Boot Zertifikate laufen ab Juni 2026 aus — das klingt nach viel Zeit, doch gerade in größeren IT-Umgebungen braucht ein kontrollierter Rollout Vorlauf. Wer die neuen 2023er-Zertifikate frühzeitig einspielt, stellt sicher, dass seine Systeme auch nach dem Ablaufdatum vollständig geschützt bleiben.

Aus unserer Sicht als Managed Service Provider in Hannover empfehlen wir, die Prüfung zeitnah in den regulären Patch-Zyklus aufzunehmen. Ein einzelner PowerShell-Befehl reicht aus, um den Status Ihrer Geräte zu ermitteln.

Sie möchten sicherstellen, dass Ihre Geräte vorbereitet sind?

Wir unterstützen Sie bei der Prüfung und dem Rollout der neuen Secure Boot Zertifikate — für einzelne Systeme oder Ihre gesamte Infrastruktur.

Jetzt Kontakt aufnehmen

📞 Kontakt
📍 EXT IT – Vahrenwalder Str. 271, 30179 Hannover
✉️ [email protected]
🌐 www.ext-it.tech

Quellen

  1. Microsoft Support: Windows Secure Boot certificate expiration and CA updates
  2. Microsoft Learn: Secure Boot overview

Mehr Beiträge