{"id":318401,"date":"2025-11-20T00:14:30","date_gmt":"2025-11-19T23:14:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318401"},"modified":"2025-11-26T18:54:14","modified_gmt":"2025-11-26T17:54:14","slug":"windows-10-chaos-beim-austausch-neuer-secure-boot-keys","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/11\/20\/windows-10-chaos-beim-austausch-neuer-secure-boot-keys\/","title":{"rendered":"Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?"},"content":{"rendered":"

\"Windows\"Microsoft tauscht ja die Secure Boot-Zertifikate im BIOS aus, da die alten Zertifikate im Oktober 2026 auslaufen. Bei den betreffenden Updates scheint es aber Probleme zu geben, weil Microsoft bestimmte Anweisungen zum Zertifikatswechsel m\u00f6glicherweise fehlerhaft vorgegeben hat. Ein Blog-Leser hat mich auf das Problem hingewiesen.<\/p>\n

<\/p>\n

UEFI Secure Boot-Zertifikat l\u00e4uft 2026 ab<\/h2>\n

\"\"Im Jahr 2026 laufen verschiedene Microsoft\u00a0Secure Boot-Zertifikate im UEFI ab. Das betrifft im\u00a0Juni 2026 das UEFI Secure Boot-Zertifikate. Im Oktober 2026 trifft es dann das n\u00e4chste ablaufende UEFI-Zertifikat f\u00fcr den Secure Boot. Ich hatte im Blog-Beitrag\u00a0Microsofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/a> auf diesen Sachverhalt hingewiesen.<\/p>\n

\"Windows<\/p>\n

Microsoft hat zum 26. Juni 2025 den Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026<\/a> zu diesem Thema ver\u00f6ffentlicht und obige Tabelle gepostet. Der Hintergrund ist, dass diese UEFI-Zertifikate vor 15 Jahren (f\u00fcr Windows 8-Maschinen) erstmals ausgestellt wurden. Neben obigem Artikel gibt es von Microsoft noch das Dokument\u00a0Secure Boot Certificate updates: Guidance for IT professionals and organizations<\/a> (Deutsch:\u00a0Zertifikatupdates f\u00fcr den sicheren Start: Leitfaden f\u00fcr IT-Experten und Organisationen<\/a>) mit vielen Details und technische Erl\u00e4uterungen.<\/p>\n

Ein Leserhinweis auf ein Problem<\/h2>\n

Ein Blog-Leser hat sich bei mir zum 11. November 2025 per E-Mail gemeldet, weil er bei der\u00a0Aktualisierung der neuen Secure Boot Keys auf einem Windows 10 IoT 21H2 Enterprise LTSC in Probleme gelaufen es. Laut Leser stellte sich heraus, dass die Vorgaben:<\/p>\n

2. 0x0800 – This bit tells the scheduled task to apply the Microsoft UEFI CA 2023 to the DB<\/p>\n

mit<\/p>\n

3. 0x1000 – This bit tells the scheduled task to apply the Microsoft Option ROM CA 2023 to the DB<\/p>\n

vertauscht wurden. Wenn die Bits vertauscht werden, installiert der eingeplante Task das falsche Zertifikat oder installiert \u00fcberhaupt nichts. Der Leser schrieb dazu: \"Neben einem gescheiterten und ungewolltem Zertifikat, spielt die falsche Reihenfolge m\u00f6glicherweise auch eine Rolle. Mit 'Microsoft Option ROM CA 2023' ist das eigentliche 'Microsoft Option ROM UEFI CA 2023' gemeint.\"<\/p>\n

Korrektur des Microsoft-Artikels<\/h2>\n

In einer Nachtrags-Mail teilte der Leser dann noch mit, dass\u00a0Microsoft den Artikel Secure Boot Certificate updates: Guidance for IT professionals and organizations<\/a> vom 26. Juni 2025 folgenderma\u00dfen korrigiert habe:<\/p>\n

\"Secure<\/p>\n

2. 0x0800 – This bit tells the scheduled task to apply the Microsoft Option ROM UEFI CA 2023 to the DB.<\/p>\n

If 0x4000 is also set, then the scheduled task will check the DB and will only apply Microsoft UEFI CA 2023 if it finds Microsoft Corporation UEFI CA 2011 already in the DB.<\/p>\n

3. 0x1000 – This bit tells the scheduled task to apply the Microsoft UEFI CA 2023 to the DB.<\/p>\n

If 0x4000 is also set, then the scheduled task will check the DB and will only apply Microsoft Option ROM UEFI CA 2023 if it finds Microsoft Corporation UEFI CA 2011 already in the DB.<\/p><\/blockquote>\n

Die Bits zur Steuerung der Zertifikatsinstallation sind in folgender Tabelle aus Secure Boot Certificate updates: Guidance for IT professionals and organizations<\/a> dokumentiert.<\/p>\n

\"Bits<\/p>\n

Die darunter liegende Beschreibung zu \"If 0x4000 is also set, ….\" enth\u00e4lt noch das vertauschte Zertifikat. Die nun ge\u00e4nderte Reihenfolge \"2. Microsoft Option ROM UEFI CA 2023\", \"3. Microsoft UEFI CA 2023\" mag Microsoft nicht st\u00f6ren, w\u00e4re auch mehr Arbeit gewesen, schrieb der Leser noch.<\/p>\n

\u00c4nderungsmitteilung MC1185931<\/h2>\n

Mir ist dann das Thema auch noch in der patchmanagement.org-Mailing-Liste untergekommen. Folgender Screenshot zeigt die \u00c4nderungsmitteilung \"MC1185931: Secure Boot playbook for certificates expiring in 2026\", die im Microsoft 365 Admin Center oder hier<\/a> abgerufen werden kann.<\/p>\n

\"MC1185931:<\/p>\n

Probleme bei Lenovo Notebooks<\/h2>\n

Kleine Erg\u00e4nzung: Bei administrator.de bin ich auf den Thread\u00a0Secure Boot Zertifikate erneuern<\/a> gesto\u00dfen. Dort hatte jemand Probleme, die Secure Boot-Zertifikate unter Windows 11 25H2 auf LenovoV50t Gen 2-13IOB Ger\u00e4ten zu aktualisieren. Er lief auf einen Fehler bei der Installation. Erkenntnis dort: Die Zertifikatdatei muss auf einen FAT32-USB-Stick gebracht werden. Dann l\u00e4sst sich das Zertifikat wohl im UEFI vom Stick \u00fcbertragen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft tauscht ja die Secure Boot-Zertifikate im BIOS aus, da die alten Zertifikate im Oktober 2026 auslaufen. Bei den betreffenden Updates scheint es aber Probleme zu geben, weil Microsoft bestimmte Anweisungen zum Zertifikatswechsel m\u00f6glicherweise fehlerhaft vorgegeben hat. Ein Blog-Leser hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,185,301],"tags":[24,4315,3288],"class_list":["post-318401","post","type-post","status-publish","format-standard","hentry","category-problem","category-update","category-windows","tag-problem","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318401"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318401\/revisions"}],"predecessor-version":[{"id":318649,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318401\/revisions\/318649"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}