{"id":313060,"date":"2025-06-30T01:57:07","date_gmt":"2025-06-29T23:57:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313060"},"modified":"2025-06-30T09:38:13","modified_gmt":"2025-06-30T07:38:13","slug":"microsofts-uefi-secure-boot-zertifikat-laeuft-im-juni-2026-ab","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/30\/microsofts-uefi-secure-boot-zertifikat-laeuft-im-juni-2026-ab\/","title":{"rendered":"Microsofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich greife erneut ein Thema hier im Blog auf, was noch ein Jahr Zeit hat, aber arg unangenehme Folgen haben\u00a0 d\u00fcrfte. Im Juni 2026 laufen UEFI Secure Boot-Zertifikate ab. Im Oktober 2026 trifft es dann das n\u00e4chste ablaufende UEFI-Zertifikat f\u00fcr den Secure Boot. Microsoft hat vorige Woche auf diesen Umstand hingewiesen und Administratoren aufgefordert zu reagieren.<\/p>\n


\n\"\"Zum Thema der ablaufenden UEFI-Zertifikaten, die beim Secure Boot von Windows gebraucht werden, hatte ich mehrfach hier im Blog Artikel ver\u00f6ffentlicht (siehe Artikelende). Es ging da aber um einen Zertifikatsablauf im Oktober 2026. Aber bereits im Juni 2026 wird das Thema brisant. Denn Microsoft hat vorige Woche den Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026<\/a> ver\u00f6ffentlicht, der auf ein weiteres Zertifikatablauf-Problem hinweist. Verschiedene Leser hatte mich per E-Mail auf dieses Thema oder auf den Beitrag hier<\/a> hingewiesen (danke).<\/p>\n

UEFI-Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/h2>\n

Im Beitrag weist Microsoft darauf hin, dass die Microsoft-Zertifikate, die in Secure Boot verwendet werden, alle im Juni 2026 ablaufen. Der Hintergrund ist, dass diese UEFI-Zertifikate vor 15 Jahren (f\u00fcr Windows 8-Maschinen) erstmals ausgestellt wurden.<\/p>\n

Die Struktur der Secure Boot-Zertifikatskette verstehen<\/h3>\n

Das in Windows 8 eingef\u00fchrte Secure Boot stellt \u00fcber eine Vertrauenshierarchie, die auf Zertifikaten im UEFI basiert, sicher, dass beim Systemstart nur autorisierte Software ausgef\u00fchrt wird. An erster Position dieser Kette steht der Plattformschl\u00fcssel (PK), der in der Regel vom OEM oder einem Beauftragten verwaltet wird und als Vertrauensbasis dient.<\/p>\n

Der Plattformschl\u00fcssel (PK) autorisiert Aktualisierungen der Key Enrollment Key (KEK)-Datenbank, die wiederum Aktualisierungen von zwei kritischen Signaturdatenbanken autorisiert:\u00a0die Allowed Signature Database (DB) und die Forbidden Signature Database (DBX).<\/p>\n

Diese mehrschichtige Struktur stellt sicher, dass nur validierte Updates die Boot-Policy des Systems \u00e4ndern k\u00f6nnen, um eine sichere Boot-Umgebung zu gew\u00e4hrleisten (siehe Aktualisieren von Secure Boot-Schl\u00fcsseln<\/a>).<\/p>\n

Ablaufende Zertifikate f\u00fcr Windows<\/h3>\n

Microsoft hat im Technet-Beitrag folgende Tabelle mit der Liste der ablaufenden Zertifikate ver\u00f6ffentlich. Es geht hier im Beitrag um die beiden Zertifikate Microsoft Corporation KEK CA 2011<\/em> und Microsoft Corporation UEFI CA 2011<\/em> (oder UEFI-Zertifikate von Drittanbietern, z.B. f\u00fcr Linux-Systeme), die beide im Juni 2026 ablaufen.<\/p>\n

\"Windows<\/p>\n

Diese ablaufenden Zertifikate werden durch die neuen Zertifikate Microsoft Corporation KEK 2K CA 2023\u00a0<\/em>und\u00a0Microsoft Corporation UEFI CA 2023<\/em> oder\u00a0Microsoft Option ROM UEFI CA 2023<\/em> ersetzt.<\/p>\n

Auf den Ablauf des Microsoft Windows Production PCA 2011-Zertifikats zum Oktober 2026 hatte ich in den Artikels am Beitragsende hingewiesen.<\/p><\/blockquote>\n

Welche Systeme sind betroffen?<\/h2>\n

Betroffen vom UEFI-Zertifikatsablauf sind sowohl physische als auch virtuelle Maschinen\u00a0 (VMs), auf denen eine unterst\u00fctzte Version von Windows 10, Windows 11, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 l\u00e4uft. Das sind alle Systeme, die seit 2012 ver\u00f6ffentlicht wurden. Diese schlie\u00dft auch Systeme aus dem Long-Term Servicing Channel (LTSC) ein.<\/p>\n

Nicht betroffen sind Systeme, die a) kein Secure Boot zur Absicherung des Windows-Starts verwenden und b) neue Systeme mit Copilot+PC aus 2025 – letztere haben bereits das neue UEFI-Zertifikat aus 2023.<\/p>\n

Erinnerung: Es k\u00f6nnen auch Apple Macs betroffen sein, wenn Windows auf dieser Hardware per Bootcamp oder per Parallels virtualisiert installiert ist. Die Aktualisierung dieser Zertifikate wird durch Microsoft aber nicht unterst\u00fctzt. Wer auf Bootcamp und Windows verzichtet, oder einen der Apple Macs mit Silicon-Chip (M1-M3) verwendet, ist ebenfalls nicht betroffen.<\/p><\/blockquote>\n

Was bedeutet der Zertifikatsablauf?<\/h2>\n

Mein erster Gedanke war, dass die Systeme beim Zertifikatsablauf Windows nicht mehr booten (siehe auch Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a>). Allerdings tritt dieses Szenario nicht auf, die Systeme starten Windows weiterhin, wenn Secure Boot aktiviert ist. Ist Secure Boot deaktiviert und alles auf Legacy Boot umgestellt, juckt der Zertifikatsablauf nur indirekt (wird relevant, wenn man nach Juni 2026 im BIOS\/UEFI wieder auf Secure Boot gehen m\u00f6chte).<\/p>\n

Es gibt aber ein gr\u00f6\u00dferes Problem: Sind diese CAs ablaufen, erhalten die Systeme keine Sicherheitsupdates mehr f\u00fcr den Windows Boot Manager und die Secure Boot-Komponenten. Systeme (egal ob physische Ger\u00e4te oder virtuelle Maschinen), die auf Secure Boot angewiesen sind:<\/p>\n