Am 24. Juni 2026 laufen die ersten Secure Boot-Zertifikate für Windows-Systeme (und für Linux-Systeme, sofern die Secure Boot nutzen) ab. Microsoft versucht seit Monaten, mithilfe der IT-Administratoren, die Systeme mit neuen Secure Boot-Zertifikaten zu aktualisieren. Scheint aber nicht immer einfach – heute noch ein kurzer Blick auf die Gemengelage.
Ablauf der Secure Boot-Zertifikate zum 24.6.2026
Zum 24. Juni 2026 laufen die ersten Secure Boot-Zertifikate, die vor 15 Jahren (2011) für Windows 8-Maschinen ausgestellt wurden, ab. Microsoft hat im Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026 folgende Tabelle mit der Liste der ablaufenden Zertifikate veröffentlich.
Ich hatte hier im Blog seit geraumer Zeit auf diesen Umstand hingewiesen (siehe Links am Artikelende). Betroffene Windows-Maschinen werden auch nach dem Ablauf der Secure Boot-Zertifikate starten – sagt zumindest Microsoft. Aber diese Maschinen bekommen dann keine Sicherheitsfixes mehr, die sich auf den Secure Boot-Vorgang beziehen.
Microsoft versucht seit vielen Monaten die ablaufenden Zertifikate per Windows Update zu aktualisieren. Das ist aber nicht immer erfolgreich, wie diverse Rückmeldungen aus der Leserschaft ergeben haben.
Lesererfahrung HP Workstation Update
Blog-Leser Dr. Josef Z. hat mich vorige Woche per Mail kontaktiert und seine Erfahrungen mit dem HP-Support für das Secure Boot 2023-Update geschildert. Ich stelle die Information mal hier im Blog ein.
Der Leser nutzt seit April 2022 u.a. eine HP Workstation Z4G4 (HP Commercial Plattform, Typ:1JP11AV9 mit einem Intel Xeon W2225 Prozessor). Nun stand der Leser vor dem Problem, diese HP Workstation mit dem Secure Boot 2023-Update zu aktualisieren.
Zur Vorbereitung auf die Installation neuer Secure Boot-Zertifikate von Windows erwies sich laut Leser (vermeintlich) eine HP Veröffentlichung HP Business PC – Vorbereitung auf neue Secure Boot-Zertifikate von Windows zu diesem Thema als informativ. Diese Veröffentlichung wurde mehrfach revidiert (derzeit in 5. Revision). Meine Workstation (Bios Version HP P61 V02.75 vom 28.09.2021, dürfte das Produktionsdatum sein) hat nach der Veröffentlichung ihre EOL noch nicht erreicht und erhält BIOS-Updates (Firmware Updates). Wegen diverser Probleme bei HP dürften viele Nutzer (so auch der Leser), soweit möglich BIOS-Updates meiden. Der Leser hat daher Firmware-/Treiber-Updates durch Microsoft deaktiviert.
BIOS-Version als Voraussetzung für Secure Boot-Update
Spannend wurde es laut Leser durch die Ausführungen im Abschnitt "Installieren und Verwalten neuer Secure Boot-Zertifikate" im Absatz 1 "Aktualisieren des System-BIOS" der HP-Anleitung.
Dort wird gefordert, dass bei unterstützten HP PCs mit BIOS in einer Mindestversion neue Secure Boot-Zertifikate nur dann installiert werden können, wenn das Versionsfeld SMBIOS Type1 die Teilzeichenfolge SBKPFV3 enthält. Diese Teilzeichenfolge ermöglicht kumulativen Windows-Updates die neuen Secure Boot-Zertifikate dem aktiven UEFI-KEK und der Datenbank im Laufe des Jahres 2026 hinzuzufügen.
Ist im Versionsfeld SMBIOS Type1 die Teilzeichenfolge SBKPFV3 nicht enthalten, benötigt das System ein HP BIOS-Update mit definierter Mindestversion, um diese neuen Zertifikate vorzubereiten. Die Prüfung kann durch Ausführen des folgenden Befehls in der Powershell erfolgen:
(Get-CimInstance -ClassName Win32_ComputerSystemProduct).Version
Mit SBKPFV3 markiert HP offenbar BIOS-Versionen, welche den Schutzmechanismus von HP Sure Start (HP Produkt neben Secure Boot) ändern, um Updates der UEFI Zertifikate zu ermöglichen, nimmt der Leser an. Er hat dazu nur diese Information gefunden.
HP hat dazu in oben verlinkter Veröffentlichung eine Liste mit unterstützten HP Commercial Plattformen und BIOS-Mindestversionen integriert, welche, bis zur 4. Revision, für die HP Z4 G4 Workstation (Xeon W) (Abschnitt Desktop Workstations) die Bios Version HP P61 02.97 Rev.A vom 13.08.2025 (sp161764) als Mindestversion festlegte.
Ab Revision 5 dieser Veröffentlichung änderte sich dies grundlegend, indem für alle Workstations der Generation 4 (…G4) und der BIOS-Familie P… keine BIOS-Mindestversionen, SoftPaq-Nr und SoftPaq-Links definiert werden ("n.v."), dafür aber jeweils folgender Verweis (Stern) erfolgt:
Anmerkung: * Bei diesem System unterstützt Microsoft neue Secure Boot-Zertifikate ohne die Teilzeichenfolge „SBKPFV3". Halten Sie Ihr System mit Microsoft Update auf dem neuesten Stand, um die neuen Zertifikate zu erhalten.
Der Leser schrieb: Demnach scheinen (wenn ich es positiv interpretiere) HP und M$ offenbar eine Möglichkeit gefunden zu haben, ohne BIOS-Updates und damit eventuell ohne die Teilzeichenfolge "SBKPFV3" , die Zertifikate via Windows Update zu installieren. Glaubhaft ist dies für mich bei diesen Firmen nicht und mein Verdacht sollte sich auch als zutreffend erweisen!
Neue HP BIOS-System-Firmware Version 03.00 Rev A
Der Leser schrieb dazu, dass HP seit dem 22.05.2026 dann eine BIOS-System-Firmware Version 03.00 Rev A (sp173140) für die HP Z4-G4 Xeon Workstation im Angebot habe, welche u.a. neu "support for updated UEFI Certificate Authority (CA) 2023 keys" erwähnt.
Der neue Support für die Keys ist im HP-Artikel Alle HP Commercial- und Workstation-Computer – Computer bleibt nach einer Aktualisierung des BIOS in der BitLocker Wiederherstellungsschleife hängen zu sehen, auf den in der HP-Veröffentlichung im Abschnitt "Bekannte Probleme" verwiesen wird (Bitlocker Loop).
Bemerkenswert sei es in diesem Zusammenhang auch, schrieb der Leser, dass in der Liste der unterstützten Plattformen für Updates der BIOS-Zertifikate, die neue BIOS-Version 03.00 Rev A nicht als Mindest-Biosversion für die HP Z4G4 einfügt wurde. Das heißt, neue Secure Boot-Zertifikate wären demnach weiterhin (mittels Microsoft-Updates) ohne die Teilzeichenfolge "SBKPFV3" zu installieren.
Erfahrungen zu Microsofts Vorgehen beim Zertifikate-Update
Der Leser hat nach diesen HP-Empfehlungen kein BIOS -Update vorgenommen (n.v.) und die monatlichen Updates von Microsoft verfolgt. Die automatischen Updates der Zertiikate starteten (definitionsgemäß auch ohne Teilzeichenfolge SBKPFV3), jedoch wurden in einer ersten Phase (etwa 3 Monate) Daten gesammelt.
Dann hat Microsoft (ab etwa April 2026) die Zertifikatsupdates für den sicheren Start für bestimmte Gerätekonfigurationen vorübergehend angehalten, während ein bekanntes Kompatibilitätsproblem von Microsoft und seinen Partnern untersucht wird. Das Update soll automatisch fortgesetzt werden, sobald das Problem behoben wurde. Letzteres bedeutet, nach den Recherchen des Lesers, dass ein Firmware Update seitens des OEMs benötigt wird.
Das umfangreiche Juni 2026-Update hat der Leser, vorausschauend, 5 Wochen pausiert. Das hat aber nichts genutzt, denn Microsoft startete das Update, so der Leser, knapp nach dem Juni-Patchday, ungefragt im Hintergrund samt dem Secure Boot-Update. Das Secure Boot-Update missglückte mit der Meldung, dass das automatische Update des Zertifikats für sicheres Starten aufgrund von Hardware- und Firmwar-Einschränkungen vom Gerät nicht unterstützt wird. Der Administrator solle sich an den Gerätehersteller wenden um Unterstützung zu erhalten.
Ereignisanzeige zeigt Fehler 1802, 1797
In der Ereignisanzeige werden dazu, so der Leser, für UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023 bekannte Firmwareprobleme angegeben, wodurch das Update blockiert wird (ConfidenceLevel: High Confidence; Errors 1802, 1797; SkipReason: KI_7 )
Nach den Einträgen in der Registry wurde das Update mit der Bitmask 0x5944 in bekannter Weise getriggert (ergänzte der Leser). Nach dem UEFI CA 2023-Status: InProgress ist das Update noch aktiv und das System daher wohl in einem undefinierbaren Zustand.
Auf der patchmanagement.org-Mailing-Liste ist mir die Diskussion For Secureboot certificate installation is anyone seeing repeated 1801 events? untergekommen. Dort erwähnen Teilnehmer ebenfalls Einträge in der Ereignisanzeige, die in Verbindung mit dem Secure Boot-Zertifikat und dessen Update stehen. Dort geht es auch um Dell-Systeme und es heißt, viele Systeme benötigten BIOS-Updates, um die Zertifikate aktualisieren zu können.
Was bedeutet SkipReason: KI_7?
Der Leser hat dann nachgeschaut, was SkipReason KI_7 bei der HP-Firmware bedeutet und ist auf folgende Definition gestoßen:
Dieses HP-Gerät hat ein bekanntes Kompatibilitätsproblem bei Updates für den sicheren Start. Updates für betroffene Modelle werden übersprungen, um Probleme zu vermeiden, die auftreten können, wenn das erforderliche Firmwareupdate fehlt. Kunden können bei HP überprüfen, ob aktualisierte Firmware verfügbar ist, die dieses Problem behebt und das Update für den sicheren Start ermöglicht. Weitere Informationen finden Sie unter HP-PCs – Vorbereiten auf neue Windows Secure Boot-Zertifikate | HP-Support".
Der Leser schreibt dazu: "Letzterer Verweis auf die HP-Veröffentlichung führt wieder zum Anfang dieses Schreibens und zur "SBKPFV3"- Problematik". Sprich: HP weiß selbst nicht, was man da tut. Der Leser fragt: "Was nützt das Pausieren von Updates, um bekannte Kompatibilitätsprobleme angeblich zu lösen und die Updates (ohne Lösung) doch zu starten und das System zu gefährden?
Der Leser ist dann auf reddit.com auf den Thread HP lügt offensichtlich über Secure Boot 2023 CA-Unterstützung gestoßen. Die sehr informative Diskussion auf Reddit trifft auf den Problemfall des Lesers (HP, G4-Modelle, Bios, etc.) weitgehend zu. Beim Studium der Beiträge in dieser Diskussion wurde dem Leser bewusst, dass die (leeren) Einträge "n.v." in der HP-Liste und das Ausklammern der Teilzeichenfolge "SBKPFV3" so zu interpretieren sind, dass HP für die Installation kein BIOS-Update zur Verfügung stellen kann und damit dem Vorwurf der Lüge ausweicht. Die Verantwortung wird auf die Updates von Microsoft verlagert, welche aber ohne angepasstes BIOS offensichtlich nicht funktionieren.
Wenn die Katze sich in den Schwanz beißt
Der Leser merkt an, dass die (neue) BIOS-System-Firmware Version 03.00 Rev A als Mindestversion die Kompatibilitätsprobleme offensichtlich auch nicht zu lösen scheint. Über das weitere Vorgehen zeigt sich der Leser unschlüssig. Zudem hegt er große Bedenken, ob der PC nach einem BIOS-Update, während einem unterbrochenen aber noch aktiven Update-Vorgangs, noch bootet (Zustand von Sure Start nach Bios-Update zudem ungewiss). Der Leser schrieb: "Ich habe dabei kein Zutrauen zu HP (vgl. Bitlocker Loop, etc.). Bliebe das Abschalten von SecureBoot oder der Umstieg auf Linux (funktioniert auf dieser Workstation).
Dass die automatische Installation von Zertifikaten bei älteren PCs (Windows 11, ohne Bitlocker, ohne Microsoft-Konto) bei Windows Updates völlig problemfrei funktioniert, hat der Leser bei seiner Dell Workstation T5820 aus dem Jahr 2018 erlebt (lediglich ein außerplanmäßiger Neustart zum Umbenennen von neuen Zertifikaten war erforderlich).
Der Leser schrieb, dass er HP-Geräte sicherlich nicht mehr kaufen werde, er will diesen Ärger und die vielen damit verbundenen Recherchen nicht mehr haben.
Nächster Ärger vorprogrammiert?
Der Leser merkt an, dass die nächsten Probleme mit den Windows-Start-Manager-Sperrungen für Änderungen und deren Verwaltung bereits warten und verweist auf den Microsoft-Supportabschnitt Aktualisieren der Windows-Installationsmedien.
In einer weiteren Nachtrags-Mail ergänzt der Leser, dass sein Verdacht, dass das in der HP Workstation integrierte System HP Sure Start (Hard- und Software) zur Laufzeit UEFI Secure Boot Zertifikate und deren Abspeicherung in der Firmware überwacht und gegebenenfalls auch sperrt (db,dbx, KEK, KEK) u.a. auf Seite 12 der HP Veröffentlichung "HP Sure Start Whitepaper"- Abschnitt "Secure boot keys protection" ausführlicher beschrieben ist.
Dieser Schutzmechanismus ist standardmäßig aktiviert (vgl Seite 20, "HP Sure Start provides superb firmware protection" ), habe aber in dem umfangreichen White Paper keinen Hinweis gefunden wie dieser Mechanismus deaktiviert werden kann (vgl. Seite 18 "HP Sure Start provides superb firmware protection").
HP Sure Start ist laut Leser bei Microsoft-Updates bereits unangenehm aufgefallen. Der Leser hat die Webseiten Computers stuck in startup-loop "Protected by HP Sure Start" after installing June 14, 2022—KB5014699 und HP Business Produkte – Bei kommerziellen Produkten (2017 – 2023) mit Sure Start tritt nach der kumulativen monatlichen Betriebssystemaktualisierung von Microsoft beim Systemstart möglicherweise eine Fehlermeldung von Secure Boot (Sicherer Systemstart) auf als belegt verlinkt.
Der Leser wird für die HP Workstation Z4G4 Sure Start/ Secure Boot beide deaktivieren. Bei administrator.de bin ich die Tage über diese Diskussion zur Zertifikatsaktualisierung beim HP Elitedesk 400 G6 (Desktop Mini PC) gestoßen. Hört sich alles nicht nach einem Easy Going an. Wie sind die Erfahrungen in der Leserschaft diesbezüglich?
Ähnliche Artikel:
Microsofts UEFI Secure Boot-Zertifikat läuft im Juni 2026 ab
Achtung: Microsofts UEFI Zertifikat läuft am 19. Okt. 2026 aus – Secure Boot betroffen
Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?
Windows Januar 2026 Update tauscht Secure Boot Zertifikate
FAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)
Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?
Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?
Windows Server für Secure Boot-Zertifikat-Updates vorbereiten
Windows Secure Boot und der Zertifikatswechsel: Microsoft Video-Session
Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1
Secure Boot-Zertifikatswechsel: Es gibt Hürden beim Austausch – Teil 2
Windows Secure Boot News-Splitter (Mai 2026): Sample Secure Boot E2E Automation Guide
MVP: 2013 – 2016
