Noch ein kleiner Artikel zum Thema Secure Boot-Zertifikate, die Administratoren seit vielen Monaten beschäftigen. Microsoft hat ein Dokument "Sample Secure Boot E2E Automation Guide" veröffentlicht, was Hilfestellung beim Ausrollen der Aktualisierungen für Secure Boot-Zertifikate gibt.
Worum geht es beim Thema Secure Boot-Zertifikate?
Im Juni 2026 laufen erste Secure Boot-Zertifikate, die vor 15 Jahren (2011) für Windows 8-Maschinen ausgestellt wurden, aus. Microsoft hat im Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026 folgende Tabelle mit der Liste der ablaufenden Zertifikate veröffentlich.
Eigentlich sollte im Juni 2026 nichts passieren
Betroffene Windows-Maschinen werden auch nach dem Ablauf der Secure Boot-Zertifikate starten – sagt zumindest Microsoft. Aber diese Maschinen bekommen dann keine Sicherheitsfixes mehr, die sich auf den Secure Boot-Vorgang beziehen. Das ist die Quintessenz aus nachfolgendem Tweet vom 26. Mai 2026, der sich mit dem Thema befasst hat.
Windows Latest hatte dies zum 26. Mai 2026 im Beitrag Microsoft reveals what happens to Windows 11 PCs if you ignore the Secure Boot deadline in June 2026 aufgegriffen.
Eine krasse Experience aus der Blog-Leserschaft
Persönlich gehe ich dem Juni 2026 noch entspannt entgegen. Aber mich hat zum 20. Mai 2026 eine E-Mail mit dem Betreff "Windows 10 und Secure Boot, ein Desaster für Nutzer im Juni 2026?" aus der Leserschaft erreicht, die eine ziemlich krasse Erfahrung (neudeutsch von Microsoft gerne als Experience klassifiziert) beschreibt. Der Leser fragte sich, ob den Windows-Nutzern ein Desaster im Juni 2026, zumindest für Windows 10 – Nutzer bevorsteht?
Der Hintergrund der Frage ist der Umstand, dass der Nutzer einen ASUS-PC (genaues Modell ist ungenannt geblieben) mit Windows 10, und ohne Secure Boot, betreibt. Soweit so normal. Das Problem, schreibt der Leser, ist, dass der Rechner mit vorhandener Internetverbindung praktisch unbenutzbar ist. Der Leser gibt an, dass der Rechner wohl keine gültigen Zertifikate findet. Trennt der Leser die Maschine vom Internet und lässt das Gerät für 24 Stunden ausgeschaltet, startet die Maschine mit Windows 10 normal und ist zumindest etliche Stunden wieder zu gebrauchen.
Ist etwas vage, die obige Beschreibung, weshalb ich nachgefragt habe. Der Leser schreibt selbst, dass es "ein überraschendes und komisches Problem" sei, das eventuell mit dem Zertifikatablauf zu tun hat. Hier die gerafften Symptome:
- Plötzlich gegen Abend sei der ASUS-PC mit Windows 10 ohne Secure Boot nicht mehr richtig zu gebrauchen gewesen.
- Der Leser hat dann einen Neustart durchgeführt, wonach sich der Anmeldebildschirm mit "Falsches Passwort" meldete und ein OK-Feld zeigte. Der Leser musste erst herausfinden, wie er das Passwort-Feld zur Anzeige bekommt, um das korrekte Passwort zur Benutzeranmeldung einzugeben.
- Als die Anmeldung geglückt war, zeigte sich zwar der Windows Desktop. Aber der Leser konnte in den Einstellungen nichts auswählen, denn es wurde nur eine Suche angezeigt.
- In der Systemsteuerung ließ sich nichts aussuchen, denn es zeigten sich nur zwei Felder für Webanmeldung und Anmeldebildschirm.
- Der Firefox funktionierte nicht richtig und war völlig unbrauchbar. Der PC ließ sich auch nicht mehr per "Herunterfahren" ausschalten, sondern startete immer wieder neu.
Kann passieren, irgend etwas ist wohl kaputt. Krude wird das Ganze aber, weil der Leser dann die Internetverbindung gekappt und den PC dann ausgeschaltet hat (wohl hartes Ausschalten). Am nächsten Tag gab es die Überraschung, der Rechner zeigte die erwartete Anmeldseite und die Anmeldung war möglich. Alles funktionierte wieder normal.
Der Leser hat dann erneut die Internetverbindung beim ASUS-PC zugelassen und das Gerät funktionierte weiterhin. Spontane Wunderheilung? Leider nein, denn das System war nach etlichen Stunden am Internet wieder nicht zu gebrauchen. Das Spiel ließe sich wiederholen – ohne Internet läuft das System, mit Internet kommt es zu Problemen.
Es könnte sein, dass eine Software da bei bestehender Internetverbindung Probleme macht und die Ressourcen des Systems frisst. Der Leser vermutet aber, dass Windows während des Betriebs eine Art Zertifikatsprüfung vornimmt, die dann schief geht. Generell halte ich die obige Beobachtung für einen Einzelfall, der verschiedene Ursachen haben kann – es sei denn, es melden sich weitere Leser mit ähnlichen Erfahrungen.
Persönlich ist mit so ein Verhalten noch nicht untergekommen oder aus der Leserschaft berichtet worden. Ich hatte mich mit Mark Heitbrink diesbezüglich ausgetauscht. Dessen Rückmeldung war, dass ihm ein solcher Fall auch noch nicht untergekommen ist.
Secure Boot einfach ausschalten?
Der Leser hat einen weiteren Acer-PC mit Windows 10 und aktiviertem Secure Boot. Aber dieses System von Acer bekommt kein neues BIOS mehr, also auch keine Secure Boot-Zertifikate. Denn Windows Update ist deshalb nicht in der Lage neue Zertifikate zu installieren. Der Leser schrieb, dass er versuchen möchte, deshalb Secure Boot zu deaktivieren. Er frage sich aber, ob der PC nachher noch brauchbar zu nutzen ist?
Ich hatte beim Austausch mit Mark Heitbrink auch die obige Frage aufgeworfen. Dessen Rückmeldung war, dass man offiziell Secure Boot nachträglich ausschalten kann. Der Rechner läuft, ist aber eventuell "unpatchbar", wenn es Updates zum Thema Bootvorgang oder ähnliches gibt.
Mark merkte an, dass das nachträgliche Wiederanschalten des Secure Boot ist mit Basteln verbunden sei. Er habe das aber nie komplett durchgespielt, sondern nur virtuell bei zwei Installationen Secure Boot, nachdem sie mit Secure Boot installiert wurden, zum Test nachträgliche rausgenommen. Beide virtuelle Maschinen konnten mit Windows booten.
Microsoft patcht seit 2023 …
Microsoft versucht daher, seit dem Jahr 2023 die Zertifikate zu aktualisieren. Und seit dieser Zeit gibt es Probleme, die ich teilweise im Blog behandelt habe (siehe Artikel am Beitragsende). Und Redmond versucht Administratoren mit zusätzlicher Dokumentation zu unterstützen.
Microsoft hatte bereits zum 2. Februar 2026 das Playbook mit dem Titel Secure Boot playbook for certificates expiring in 2026 in der Techcommunity veröffentlicht. Dort fasst Microsoft nochmals alles Wissenswerte zum Zertifikatsablauf zusammen. Dabei werden auch die Schritte zur Vorbereitung des Zertifikatswechsels skizziert, wie sich die Zertifikate über verschiedene Wege aktualisieren lassen und wie man den Boot-Status der Geräte überwachen und prüfen könne. Problem in meinen Augen ist, dass das nur auf einzelnen Geräten funktioniert.
In Secure Boot-Zertifikatswechsel: Es gibt Hürden beim Austausch – Teil 2 hatte ich zwei Szenarien skizziert, wo es nicht möglich war, die UEFI-Zertifikate zum Secure Boot per Microsoft Update zu aktualisieren. Inzwischen hat sich die Situation aber wohl gebessert. Und Microsoft hat mit weiteren Maßnahmen nachgelegt. Dazu gehört auch eine Hilfestellung für Administratoren, die Secure Boot-Zertifikate austauschen müssen. Eine Übersicht, wie Administratoren vorgehen könnten, hat ein MVP Ende April 2026 in diesem Beitrag zusammen gefasst.
Microsoft Sample Secure Boot E2E Automation Guide
Mark Heitbrink hatte mich vor einigen Tagen bereits per E-Mail daran erinnert, dass Microsoft zum 15. Mai 2026 das Sample Secure Boot E2E Automation Guide online gestellt habe (danke dafür). In diesem Leitfaden wird das automatisierte Bereitstellungssystem für Windows Secure Boot-DB-Zertifikatsaktualisierungen unter Verwendung von Gruppenrichtlinien und schrittweisen Rollout-Phasen beschrieben.
Die "Secure Boot Certificate Rollout Automation" ist ein PowerShell-basiertes System, das Windows Secure Boot-DB-Zertifikatsaktualisierungen kontrolliert und schrittweise auf domänengebundene Computer bereitstellt.
Bei administrator.de ist mir zudem dieser Thread untergekommen, der das Ganze ebenfalls anspricht. Dort wird darauf hingewiesen, dass Microsoft zwei PowerShell-Scripte bereitstellt, die unter:
C:\Windows\SecureBoot\ExampleRolloutScripts
bereitgestellt werden. Obiger Screenshot stammt von meinem Windows 10 2019 Enterprise LTSC-System. Die PowerShell-Scripte sind mit den Windows Updates vom Mai 2026 auf die Maschine gekommen. Die Scripte werden ebenfalls im Sample Secure Boot E2E Automation Guide beschrieben. Vielleicht hilft es dem einen oder anderen Leser noch. Wie ist bei euch der Status bezüglich Secure Boot? Ist alles umgestellt, oder hakt es noch?
Ähnliche Artikel:
Microsofts UEFI Secure Boot-Zertifikat läuft im Juni 2026 ab
Achtung: Microsofts UEFI Zertifikat läuft am 19. Okt. 2026 aus – Secure Boot betroffen
Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?
Windows Januar 2026 Update tauscht Secure Boot Zertifikate
FAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)
Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?
Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?
Windows Server für Secure Boot-Zertifikat-Updates vorbereiten
Windows Secure Boot und der Zertifikatswechsel: Microsoft Video-Session
Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1
Secure Boot-Zertifikatswechsel: Es gibt Hürden beim Austausch – Teil 2
MVP: 2013 – 2016
Bei dem Asus PC – könnte es nicht einfach ein Problem mit der Zeitsynchronization sein? CMOS Batterie leer und die Uhrzeit ist falsch?
Wäre auch meine 1. Vermutung.
Können auch einfach defekte Systemdateien sein.
DISM.exe /Online /Cleanup-image /RestoreHealth
und
Sfc /scannow
könnten da für eine erste Analyse und Fehlerbehebung helfen.
Zusätzlich sollte man seine HDD/SSD im Auge behalten, defekte Systemdateien sind gerne ein erstes Anzeichen dafür das ist es ein physisches Problem gibt, selbst wenn SMART noch sagt das alles in Ordnung ist.
Es könnte aber auch ganz banal ein defekter RAM Riegel sein, es kann also nicht schaden auch diese mal durchzutesten!