Im Juni 2026 laufen UEFI Secure Boot-Zertifikate für Windows ab. Im Oktober 2026 trifft es dann das nächste ablaufende UEFI-Zertifikat für den Secure Boot. Microsoft hat zum 13. Januar 2026 im Rahmen des Patchday erneut den Ansatz unternommen, das Secure Boot-Zertifikat im UEFI auszutauschen. Hier eine kurze Nachlese zum Sachstand.
Auslaufende UEFI Secure Boot-Zertifikate
Vor 15 Jahren wurden erstmals Secure Boot-Zertifikate (für Windows 8-Maschinen) ausgestellt und im UEFI ausgerollt. Erste Zertifikate laufen im Juni 2026 ab. Microsoft hat im Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026 folgende Tabelle mit der Liste der ablaufenden Zertifikate veröffentlich.
Microsoft hat in den Supportdokumenten zu den Windows Sicherheitsupdates für Windows vom 13. Januar 2026, z.B. für KB5074109 für Windows 11 24H2-25H2, erneut an die in diesem Jahr ablaufenden UEFI-Zertifikate erinnert. Hier der betreffende Auszug aus dem Abschnitt "Ankündigungen und Nachrichten":
Ablauf des Windows Secure Boot-Zertifikats
Wichtig: Die von den meisten Windows-Geräten verwendeten Secure Boot-Zertifikate laufen ab Juni 2026 ab. Dies kann sich auf die Fähigkeit bestimmter persönlicher und geschäftlicher Geräte auswirken, sicher zu starten, wenn sie nicht rechtzeitig aktualisiert werden. Um Unterbrechungen zu vermeiden, empfiehlt es sich, den Leitfaden zu lesen und Maßnahmen zu ergreifen, um Zertifikate im Voraus zu aktualisieren. Details und Vorbereitungsschritte finden Sie unter Ablauf des Windows Secure Boot-Zertifikats und CA-Updates (englisch Windows Secure Boot certificate expiration and CA updates).
Von Microsoft heißt es, dass Nutzer möglicherweise Maßnahmen ergreifen müssen, um sicherzustellen, dass Ihr Windows-Gerät auch nach Ablauf der Zertifikate im Jahr 2026 sicher bleibt. Sowohl die UEFI Secure Boot DB als auch die KEK müssen mit den entsprechenden neuen Zertifikatsversionen für 2023 aktualisiert werden.
Zertifikate sollen per Update ausgetauscht werden
Ich hatte bereits 2025 im Beitrag Microsofts UEFI Secure Boot-Zertifikat läuft im Juni 2026 ab auf das Thema hingewiesen. Im letzten Jahr hatte Microsoft auch mehrfach versucht, Zertifikate im UEFI mittels Updates auszutauschen, was aber zu Problemen führte (siehe auch Links zu Artikeln am Beitragsende.
Zertifikate-Update von einigen Geräten im Januar 2026
In den Supportartikeln zu den Sicherheitsupdates vom 13. Januar 2026 für die diversen Windows-Versionen heißt es von Microsoft:
[Secure Boot] Starting with this update, Windows quality updates include a subset of high confidence device targeting data that identifies devices eligible to automatically receive new Secure Boot certificates. Devices will receive the new certificates only after demonstrating sufficient successful update signals, ensuring a safe and phased deployment.
Mit dem Januar 2026-Update rollt Microsoft also neue Secure Boot-Zertifikate aus, allerdings nur an Maschinen, deren Konstellation die automatisch Installation im UEFI ermöglichen. Nur wenn das UEFI bzw. das Windows-System bei der Abfrage signalisiert, dass das UEFI Secure Boot-Zertifikat erfolgreich und sicher aktualisieren kann, wird der Maschine ein aktualisiertes Zertifikat bereitgestellt.
Rollout in Wellen
Bolko weist in diesem Kommentar sogar darauf hin, dass das Rollout in Wellen erfolgt. Erst wenn genügend Geräte erfolgreich aktualisiert wurden, erhalten auch andere Geräte des selben Modells dieses Update in nachfolgenden Wellen.
Was ist mit Maschinen, die patzen?
Die große Frage, die auch Bolko in seinem oben erwähnten Kommentar anspricht, gilt den Maschinen, bei denen der Austausch der Secure Boot-Zertifikate im UEFI scheitert oder abgelehnt wird. Bolko verwies auf meinen Blog-Beitrag Vorsicht: Windows Juni 2025-Updates bricken Fujitsu-Rechner, wo ein spezieller Fall besprochen wurde.
Zudem hatte ich im November 2025 im Artikel Windows 10: Chaos beim Austausch neuer Secure Boot-Keys? noch auf gewisse Ungereimtheiten im Support-Beitrag Registry key updates for Secure Boot: Windows devices with IT-managed updates hingewiesen, die inzwischen aber korrigiert worden sind.
Maschine auf Zertifikatsprobleme testen
Im Support-Beitrag Registry key updates for Secure Boot: Windows devices with IT-managed updates finden sich im Abschnitt "Device testing using registry keys " auch Hinweise für Administratoren, wie man überprüfen kann, ob eine Maschine den Zertifikatstausch zulässt und das Zertifikat bekommen hat.
Dazu sind bestimmte Registry-Keys zu setzen. Die Ergebnisse werden in den im Supportbeitrag beschriebenen Registrierungsschlüsseln UEFICA2023Status und UEFICA2023Error sowie im Ereignisprotokolle (z.B. unter "Sicheres Starten – DB- und DBX-Variablenaktualisierungsereignisse") gemeldet.
Ist Secure Boot aktiv?
Ob Secure Boot auf einem Windows-System überhaupt aktiviert ist, lässt sich leicht prüfen, indem man die Tastenkombination Windows+R drückt und msinfo32 eintippt. Wird der Befehl abgesetzt, erscheint das Fenster mit den Systeminformationen.
In der Systemübersicht sollte im rechten Teilfenster der Zustand unter "Sicherer Startzustand" angezeigt werden. Ich habe Secure Boot bei meiner Windows 10-Maschine (und bei den Linux-Notebooks) deaktiviert.
Alternativ lässt sich der PowerShell-Befehl Confirm-SecureBootUEFI verwenden, der als Ergebnis True oder False anzeigen sollte. Dell hat hier ein Supportdokument bereitgestellt, welches Hinweise gibt, wie man die Zertifikate mittels PowerShell prüfen kann.
Bei Intune gibt es einen Stopp
Interessant ist, dass Microsoft im Support-Beitrag Microsoft Intune method of Secure Boot for Windows devices with IT-managed updates, erschienen am 4. Dezember 2025, in den "Known Issues" zum 16. Dezember 2025 folgendes eingestellt hat:
Microsoft Intune Error Code 65000 on Pro editions of WindowsSymptoms
Secure Boot configuration settings deployed through Microsoft Intune Mobile Device Management (MDM) are currently blocked on Pro editions of Windows 10 and Windows 11.
- Attempts to apply these policies result in Microsoft Intune Error Code 65000.
- Event logs might record POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, indicating the feature is unavailable on this edition.
Workaround
The issue is under investigation, and additional information will be shared as soon as it becomes available.
Dieser Klemmer wird also bei Microsoft weiterhin untersucht und ist bisher nicht abgeräumt. Auf reddit.com wird in diesem Thread über die obige Frage diskutiert und in dieser Antwort listet jemand ein Intune Detection Script, was prüft, ob das Windows UEFI CA 2023-Zertifikat gefunden wird.
Frage an die Leserschaft
Das Thema bewegt viele Administratoren – auf reddit.com gibt es diesen aktuellen Thread, auf administrator.de hat jemand diesen Thread zum Thema eröffnet. Diskussionen zu Problemen – auch mit obigem Registry-Key – finden sich in diesem Thread vom 12. Januar 2026. Wolfang Sommergut hat auf Windows Pro im November 2025 den Beitrag UEFI-Zertifikate für Secure Boot installieren, Erfolg überprüfen, Fehler analysieren veröffentlicht, der möglicherweise hilfreich ist.
Wie ist der Update-Status bezüglich UEFI Secure Boot-Zertifikatsaustausch? Ist das Ganze bereits vom Tisch? Gibt es Probleme bei euch? Steht der Zertifikatswechsel noch an?
Ähnliche Artikel:
Microsoft Security Update Summary (13. Januar 2026)
Patchday: Windows 10/11 Updates (13. Januar 2026)
Patchday: Windows Server-Updates (13. Januar 2026)
Microsofts UEFI Secure Boot-Zertifikat läuft im Juni 2026 ab
Achtung: Microsofts UEFI Zertifikat läuft am 19. Okt. 2026 aus – Secure Boot betroffen
Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat – was droht uns?
Windows 10/11 KB5053484: Neues PS-Script für Zertifikate in Boot-Medien
Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?
FAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)
MVP: 2013 – 2016
Also laut dem Script von GitHub (Check-UEFISecureBootVariables) ist bei mir nach sämtlichen Updates nur der 4. Abschnitt,"Current UEFI DBX" aktuell.
"Current UEFI KEK", "Default UEFI KEK", "Current UEFI DB" und "Default UEFI DB" lassen sich nicht aktualisieren.
Kann das mal jemand erklären, was davon gebraucht wird und wie das aktualisiert wird? Secureboot ist aktiv und funktioniert auch (noch).
Du brauchst alles, die DBX ist nur die Sperrliste von den Zertifikaten. Kenne aber auch nicht das github script, da ich mit eigenen arbeite.
Wenn es jetzt nur einen Computer betrifft und du über Powershell nicht fit bist, schau am besten Mal ins UEFI Bios und dort ins Zertifikatsmanagement von SecureBoot. Sind da die 3 CA 2023 Zertifikate in der DB drin, schaut's gut aus. Die DBX brauchst du "nur" für Security, aber der Computer läuft auch ohne den Eintrag in der DBX weiter.
Diese Option hat der PC/BIOS nicht.
Du meinst vermutlich sowas wie Custom-Keymanagement, wo man aus dem BIOS heraus Keys/Datenbanken durch neue von irgendeinem angeschlossenen Laufwerk aus einlesen kann?
Das zu überprüfen ist alles viel zu kompliziert. MS hat ein Tool zur Verfügung zu stellen was man runter laden und ohne es zu installieren ausführen kann. Dass zeigt dann den Status und Ablaufdaten an und bietet eine Option das Zertifikat zu ersetzen wenn es zu alt ist.
So und nicht anders. Ich habe keine Lust und Zeit auf unzähligen PCs rumzufrickeln nur weil MS mal wieder seine Hausaufgaben nicht macht. Wenn der Rechner wegen abgelaufenen Zertifikat nicht mehr bootet sollte MS haftbar gemacht werden können.
Bitte den Link dazu posten.
Danke.
https://aka.ms/KEKUpdatePackage
Man fängt sechs Monate (!!!), nicht Jahre (!!!!eins!!elf), vor Ablauf der Zertifikate an, diese zu tauschen.
Das habe ich mal anders gelernt.
fairerweise, die Zertifikate stehen schon viel länger zur Verfügung als nur 6 Monate.
also in meinen betreuten Umgebungen sind wir schon Recht weit fortgeschritten, habe einen Teil automatisiert via Powershell Scripte, und Abfragen die dann Werte ins AssetSystem spülen damit kann ich dann tracken welche Geräte patzen bzw. welche in Ordnung sind.
Lessons learned war auf jeden Fall ältere Computer bzw. UEFI haben Probleme, weil denen die Schnittstelle fehlt zum Updaten via Windows OS – es reicht also nicht aus, dass Secure Boot aktiv ist. Dort kann man sich dann manchmal noch behelfen in dem man manuell die Zertifikate via USB Stick ins UEFI einspielt – das funktioniert sehr problemlos, Vorraussetzung sind dafür aber die entsprechenden Menüpunkte exposed im UEFI/BIOS.
Blöd ist dann nur die Kombination, wenn sowohl Cert Management direkt über UEFI und auch über das Windows OS nicht möglich ist. So musste ich mich leider schon von ein paar Acer Notebooks trennen da die dann im Juni in einen "kaputt" Zustand laufen, obwohl sogar als voll Win11 kompatibel im Einsatz waren.
Heute wurde das Windows Update "Update des zulässigen Schlüsselaustauschschlüssel (Key Exchange Key, KEK) für sicheren Start" auf meinem System erfolgreich installiert.
Nach dem Reboot erhalten ich trotzdem den Ereignisfehler 1801:
"Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here.
DeviceAttributes: BaseBoardManufacturer:Micro-Star International Co., Ltd.;FirmwareManufacturer:American Megatrends International, LLC.;FirmwareVersion:A.70;OEMModelBaseBoard:MAG B660 TOMAHAWK WIFI (MS-7D41);OEMManufacturerName:Micro-Star International Co., Ltd.;OSArchitecture:amd64;
BucketId: bbbbe9dcab8444da8d03c7aa608fa6fdf3f735cef608eb89368052da90513d25
BucketConfidenceLevel: "
Was muss noch tun? Ein Bios-Update bietet mir MSI nicht an (MAG-B660 WIFI MS-7D41).
Muss ich händisch eingreifen oder nur abwarten?
Danke vorab für die Tipps
meine meinung: warte einfach 6 wochen und prüfe dann ob du schon automatisch dran warst.
ich habe bei mir den task trigger von täglich auf 2wöchentlich umgestellt damit mich die eventlog-meldungen nicht so häufig nerven.