Ab dem 24. Juni 2026 ablaufende Secure Boot-Zertifikate tangieren auch Linux-Systeme, die virtualisiert auf Azure laufen. Microsoft hat zum 22. Juni 2026 einen Supportbeitrag mit Hinweisen zu Secure Boot-Zertifikate-Updates für Linux- VMs unter Azure veröffentlicht.
Wenn ab dem 24. Juni 2026 erste Secure Boot-Zertifikate ablaufen, führt dies dazu, dass nicht aktualisierte Maschinen zwar noch booten, aber mutmaßlich keine künftigen Sicherheitsaktualisierungen mehr bekommen. Ich hatte im Blog-Beitrag Secure Boot-Zertifikate laufen am 24. Juni 2026 ab: Nutzererfahrungen mit HP … auf folgende Tabelle mit der Liste der ablaufenden Zertifikate (aus dem Microsoft Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026 entnommen) veröffentlicht.
Das wirkt sich nicht nur auf Bare-Metal-Maschinen, sondern auch auf virtualisierte Gast-Betriebssysteme aus. Bei Azure VMs hatte ich mir mal, basierend auf einem alten Microsoft-Beitrag gemerkt, dass man für Windows da ab März 2026 von Microsoft eine Lösung schaffen wollten. Ich habe das Ganze aber nicht weiter verfolgt.
Handreichungen für Azure Linux VMs
Microsofts Azure heißt aber auch, dass dort viele virtualisierte Linux-Systeme laufen. Vom Secure Boot Zertifikatsablauf sind also auch auch Unternehmen betroffen, die Linux-basierte virtuelle Azure-Maschinen mit aktiviertem Secure Boot verwalten.
Microsoft hat zum 22. Juni 2026 im Windows Message Center im Release Health Statusbereich den Supportbeitrag Secure Boot certificate updates for Linux on Azure virtual machines veröffentlicht (via).
Microsoft stellt im Supportbeitrag neue Anleitungen zur Verfügung, die Administratoren bei der Verwaltung von Zertifikatsaktualisierungen für Secure Boot unter Linux auf virtuellen Azure-Maschinen helfen sollen. Diese Anleitungen reichen von einer Einführung in die Thematik über Hinweise zur Identifizierung betroffener Systeme bis hin zur Anleitung zur Aktualisierung der VMs. Die Anleitungen beinhalten auch Hinweise zu "Trusted Launch" und "Confidential VMs" mit aktiviertem Secure Boot.
Diese Aktualisierungen sollen dazu beitragen, die Integrität des vertrauenswürdigen Startvorgangs aufrechtzuerhalten und den kontinuierlichen Zugriff auf Plattformaktualisierungen und -funktionen zu gewährleisten. Ich habe es mal überflogen, die Hinweise scheinen ganz hilfreich zu sein – muss aber jeder Admin einer Azure VM mit Linux beurteilen.
MVP: 2013 – 2016
Für Linux-User ist das ganz einfach: man startet in der Konsole "mokutil
–sb-state". Erscheint die Meldung "EFI variables are not supported on
this system" oder die Meldung "SecureBoot disabled", kann man sich
beruhigt zurücklehnen und die ganze Sache vergessen. Ansonsten muss man
sich noch ins BIOS begeben und Secure Boot abschalten.
genau und wenn das sec audit kommt und bspw. im ilo von hpe servern im security dashboard rot (weil secure boot deaktiviert ist) oder gelb (weil deaktiviertes secure boot ignoriert wird) ist, hat man es gleich mal lustig. zumindest wird man in erklärungsnot kommen warum das so ist und was einem hindert, das mehr oder minder harmlose secure boot zu aktivieren. ist halt mittlerweils pflicht das zu haben.
und ja da ist es jetzt wurscht ob windows oder irgendein linux auf dem server rennt.