Secure Boot-Zertifikatswechsel: Es gibt Hürden beim Austausch – Teil 2

Veröffentlicht am 6. Februar 2026 von Günter Born

WindowsIm Beitrag Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1 hatte ich ja darauf hingewiesen, dass die Uhr für Windows-Systeme, die Secure Boot verwenden, bezüglich de Zertifikatsablaufs ab Juni 2026 tickt. Aber es gibt wohl Hürden beim Austausch der Zertifikate mittels Microsoft Updates. Hier einige Informationen zu diesem Thema.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

2023 Secure Boot KEK-Update auf Hyper-V VMs

Das erste Problem im Zusammenhang mit dem Austausch der Secure Boot KEK-Einträge (Key Exchange Key, siehe) ist mir über nachfolgenden Tweet von Frank Lesniak untergekommen.

Frank Lesniak verweist auf den detaillierteren auf GitHub Post Missing PK-signed KEK for Hyper-V VM, Microsoft Hyper-V Firmware PK, with Serial, wo Gunnar Haslinger das Problem zusammen gefasst hat. Haslinger versucht, das 2023 KEK-Update in einer Microsoft Hyper-V-basierten VM zu installieren, erhält jedoch nur die Fehlermeldung EventID 1795. Dann hat er herausgefunden, dass der Platform Key (PK) seiner VM nicht von folgendem Paket abgedeckt ist:

"8058e8cc51749652804bbd6f39aed713d119c64b": {
        "KEKUpdate": "Microsoft\\KEKUpdate_Microsoft_PK1.bin",
        "Certificate": {
            "serial_number": 171049019130091589582073331848314912,
            "issued_to": "CN=Microsoft Hyper-V Firmware PK,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US",
            "issued_by": "CN=Microsoft Corporation Third Party Marketplace PCA,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US"
        }
    },

Die VMs nutzen ein Zertifikat mit einer anderen Seriennummer. Er war nicht in der Lage, bei seinen Hyper-V VMs die Microsoft Updates mit KEK-Zertifikaten zu installieren. Doug Flick von Microsoft schrieb dann in dieser Antwort, dass HyperV noch keine KEK-Updates unterstützt. Dies werde jedoch in Kürze (geplant sei März 2026) der Fall sein und die KEK-Update-Datei müsse danach noch aktualisiert werden.

Problem beim Austausch von Keys bei Dell-Systemen

In diesem Kommentar zum Artikel Windows 11 24H2 – 25H2: Probleme mit Preview Update KB5074105 (29.1.2026) erwähnt Blog-Leser Tibor Simandi Kallay, dass das betreffende Update auf manchen Rechnern nicht installiert werden kann. Das Update enthält m.W. auch Code, um die Secure Boot-Zertifikatsdateien auszutauschen.

Am Ende des Tages stellte sich laut diesem Kommentar heraus, dass der Austausch der Secure Boot-Zertifikatsdateien bei manchen Dell-Rechnern nicht per Windows Update funktioniert. Der Leser beschreibt einen Workaround, wie er das Update doch noch auf den betreffenden Maschinen installieren konnte.

Die Erklärung des Lesers für die Installationsprobleme beim oben genannten Update ist, dass Dell, im Gegensatz zu ASUS oder MSI, keine Updates der kritischen SecureBoot-Zertifikate über Windows Update lässt. Vielmehr bietet Dell für ihre modernen Systeme selbst ein aktualisiertes UEFI BIOS an.

Ältere Systeme werden dabei nicht mehr unterstützt. Und diese werden dann demnächst auch nicht mehr mit aktiviertem SecureBoot und TPM laufen, schrieb der Leser. Über diesen reddit.com-Tread bin ich darauf gestoßen, dass Dell diesen Support-Beitrag mit einer Liste der Systeme veröffentlicht hat, die bereits das neue Zertifikat haben oder aktualisiert werden können. Bei BIOS-Updates für neuere Modelle gibt Dell angeblich in der Beschreibung mit dem Satz "This BIOS contains the new 2023 Secure Boot Certificates," an, wenn das Zertifikat aktualisiert wird.

Und in diesem reddit.com-Thread lässt sich jemand über das Thema "Secure Boot KEK Configuration Update 2011-2023 Error" bei Lenovo-Geräten aus. Es geht dort um die BIOS-Updates, die unter Linux Fehler werfen. Im Thread werden Dell und HP ebenfalls als Problem-Kandidaten genannt. Zu einem bestimmten Update-Problem schreibe ich noch was. Sieht mir so aus, als ob das Thema Secure Boot-Zertifikate uns noch eine Weile erhalten bleibt.

Artikelreihe:
Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1
Secure Boot-Zertifikatswechsel: Es gibt Hürden beim Austausch – Teil 2

Ähnliche Artikel:
Microsofts UEFI Secure Boot-Zertifikat läuft im Juni 2026 ab
Achtung: Microsofts UEFI Zertifikat läuft am 19. Okt. 2026 aus – Secure Boot betroffen
Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?
Windows Januar 2026 Update tauscht Secure Boot Zertifikate
FAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)
Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?
KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Dieser Beitrag wurde unter Problem, Problemlösung, Sicherheit, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.