![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Am 24. Juni 2026 laufen die ersten Secure Boot-Zertifikate f\u00fcr Windows-Systeme (und f\u00fcr Linux-Systeme, sofern die Secure Boot nutzen) ab. Microsoft versucht seit Monaten, mithilfe der IT-Administratoren, die Systeme mit neuen Secure Boot-Zertifikaten zu aktualisieren. Scheint aber nicht immer einfach – heute noch ein kurzer Blick auf die Gemengelage.<\/p>\n
<\/p>\n
Ich hatte hier im Blog seit geraumer Zeit auf diesen Umstand hingewiesen (siehe Links am Artikelende).\u00a0\u00a0Betroffene Windows-Maschinen werden auch nach dem Ablauf der Secure Boot-Zertifikate starten \u2013 sagt zumindest Microsoft. Aber diese Maschinen bekommen dann keine Sicherheitsfixes mehr, die sich auf den Secure Boot-Vorgang beziehen.<\/p>\n Microsoft versucht seit vielen Monaten die ablaufenden Zertifikate per Windows Update zu aktualisieren. Das ist aber nicht immer erfolgreich, wie diverse R\u00fcckmeldungen aus der Leserschaft ergeben haben.<\/p>\n Blog-Leser Dr. Josef Z. hat mich vorige Woche per Mail kontaktiert und seine Erfahrungen mit dem HP-Support f\u00fcr das Secure Boot 2023-Update geschildert. Ich stelle die Information mal hier im Blog ein.<\/p>\n Der Leser nutzt seit April 2022 u.a. eine HP Workstation Z4G4 (HP Commercial Plattform, Typ:1JP11AV9 mit einem Intel Xeon W2225 Prozessor).\u00a0 Nun stand der Leser vor dem Problem, diese HP Workstation mit dem Secure Boot 2023-Update zu aktualisieren.<\/p>\n Zur Vorbereitung auf die Installation neuer Secure Boot-Zertifikate von Windows erwies sich laut Leser (vermeintlich) eine HP Ver\u00f6ffentlichung HP Business PC \u2013 Vorbereitung auf neue Secure Boot-Zertifikate von Windows<\/a> zu diesem Thema als informativ.\u00a0Diese Ver\u00f6ffentlichung wurde mehrfach revidiert (derzeit in 5. Revision). Meine Workstation (Bios Version HP P61 V02.75 vom 28.09.2021, d\u00fcrfte das Produktionsdatum sein) hat nach der Ver\u00f6ffentlichung ihre EOL noch nicht erreicht und erh\u00e4lt BIOS-Updates (Firmware Updates). Wegen diverser Probleme bei HP d\u00fcrften viele Nutzer (so auch der Leser), soweit m\u00f6glich BIOS-Updates meiden. Der Leser hat daher Firmware-\/Treiber-Updates durch Microsoft deaktiviert.<\/p>\n Spannend wurde es laut Leser durch die Ausf\u00fchrungen im Abschnitt \"Installieren und Verwalten neuer Secure Boot-Zertifikate\" im Absatz 1 \"Aktualisieren des System-BIOS\" der HP-Anleitung.<\/p>\n Dort wird gefordert, dass bei unterst\u00fctzten HP PCs mit BIOS in einer Mindestversion neue Secure Boot-Zertifikate nur dann installiert werden k\u00f6nnen, wenn das Versionsfeld SMBIOS Type1 die Teilzeichenfolge SBKPFV3 enth\u00e4lt. Diese Teilzeichenfolge erm\u00f6glicht kumulativen Windows-Updates die neuen Secure Boot-Zertifikate dem aktiven UEFI-KEK und der Datenbank im Laufe des Jahres 2026 hinzuzuf\u00fcgen.<\/p>\n Ist im Versionsfeld SMBIOS Type1 die Teilzeichenfolge SBKPFV3 nicht enthalten, ben\u00f6tigt das System ein HP BIOS-Update mit definierter Mindestversion, um diese neuen Zertifikate vorzubereiten.\u00a0Die Pr\u00fcfung kann durch Ausf\u00fchren des folgenden Befehls in der Powershell erfolgen:<\/p>\n Mit SBKPFV3 markiert HP offenbar BIOS-Versionen, welche den Schutzmechanismus von HP Sure Start (HP Produkt neben Secure Boot) \u00e4ndern, um Updates der UEFI Zertifikate zu erm\u00f6glichen, nimmt der Leser an. Er hat dazu nur diese Information<\/a> gefunden.<\/p>\n HP hat dazu in oben verlinkter Ver\u00f6ffentlichung eine Liste mit unterst\u00fctzten HP Commercial Plattformen und BIOS-Mindestversionen integriert, welche, bis zur 4. Revision, f\u00fcr die HP Z4 G4 Workstation (Xeon W) (Abschnitt Desktop Workstations) die Bios Version HP P61 02.97 Rev.A vom 13.08.2025 (sp161764) als Mindestversion festlegte.<\/p>\n Ab Revision 5 dieser Ver\u00f6ffentlichung \u00e4nderte sich dies grundlegend, indem f\u00fcr alle Workstations der Generation 4 (…G4) und der BIOS-Familie P… keine BIOS-Mindestversionen, SoftPaq-Nr und SoftPaq-Links definiert werden (\"n.v.\"), daf\u00fcr aber jeweils folgender Verweis (Stern) erfolgt:<\/p>\n Anmerkung: * Bei diesem System unterst\u00fctzt Microsoft neue Secure Boot-Zertifikate ohne die Teilzeichenfolge \u201eSBKPFV3\". Halten Sie Ihr System mit Microsoft Update auf dem neuesten Stand, um die neuen Zertifikate zu erhalten.<\/p><\/blockquote>\n Der Leser schrieb: Demnach scheinen (wenn ich es positiv interpretiere) HP und M$ offenbar eine M\u00f6glichkeit gefunden zu haben, ohne BIOS-Updates und damit eventuell ohne die Teilzeichenfolge \"SBKPFV3\" , die Zertifikate via Windows Update zu installieren. Glaubhaft ist dies f\u00fcr mich bei diesen Firmen nicht und mein Verdacht sollte sich auch als zutreffend erweisen!<\/p>\n Der Leser schrieb dazu, dass HP seit dem 22.05.2026 dann eine BIOS-System-Firmware Version 03.00 Rev A (sp173140) f\u00fcr die HP Z4-G4 Xeon Workstation im Angebot habe, welche u.a. neu \"support for updated UEFI Certificate Authority (CA) 2023 keys\" erw\u00e4hnt. Bemerkenswert sei es in diesem Zusammenhang auch, schrieb der Leser, dass in der Liste der unterst\u00fctzten Plattformen f\u00fcr Updates der BIOS-Zertifikate, die neue BIOS-Version 03.00 Rev A nicht als Mindest-Biosversion f\u00fcr die HP Z4G4 einf\u00fcgt wurde. Das hei\u00dft, neue Secure Boot-Zertifikate w\u00e4ren demnach weiterhin (mittels Microsoft-Updates) ohne die Teilzeichenfolge \"SBKPFV3\" zu installieren.<\/p>\n Der Leser hat nach diesen HP-Empfehlungen kein BIOS -Update vorgenommen (n.v.) und die monatlichen Updates von Microsoft verfolgt. Die automatischen Updates der Zertiikate starteten (definitionsgem\u00e4\u00df auch ohne Teilzeichenfolge SBKPFV3), jedoch wurden in einer ersten Phase (etwa 3 Monate) Daten gesammelt.<\/p>\n Dann hat Microsoft (ab etwa April 2026) die Zertifikatsupdates f\u00fcr den sicheren Start f\u00fcr bestimmte Ger\u00e4tekonfigurationen vor\u00fcbergehend angehalten, w\u00e4hrend ein bekanntes Kompatibilit\u00e4tsproblem von Microsoft und seinen Partnern untersucht wird. Das Update soll automatisch fortgesetzt werden, sobald das Problem behoben wurde. Letzteres bedeutet, nach den Recherchen des Lesers, dass ein Firmware Update seitens des OEMs ben\u00f6tigt wird.<\/p>\n Das umfangreiche Juni 2026-Update hat der Leser, vorausschauend, 5 Wochen pausiert. Das hat aber nichts genutzt, denn Microsoft startete das Update, so der Leser, knapp nach dem Juni-Patchday, ungefragt im Hintergrund samt dem Secure Boot-Update. Das Secure Boot-Update missgl\u00fcckte mit der Meldung, dass das automatische Update des Zertifikats f\u00fcr sicheres Starten aufgrund von Hardware- und Firmwar-Einschr\u00e4nkungen vom Ger\u00e4t nicht unterst\u00fctzt wird. Der Administrator solle sich an den Ger\u00e4tehersteller wenden um Unterst\u00fctzung zu erhalten.<\/p>\n In der Ereignisanzeige werden dazu, so der Leser, f\u00fcr UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023 bekannte Firmwareprobleme angegeben, wodurch das Update blockiert wird (ConfidenceLevel: High Confidence; Errors 1802, 1797; SkipReason: KI_7 )<\/p>\n Nach den Eintr\u00e4gen in der Registry wurde das Update mit der Bitmask 0x5944 in bekannter Weise getriggert (erg\u00e4nzte der Leser). Nach dem UEFI CA 2023-Status:\u00a0 InProgress ist das Update noch aktiv und das System daher wohl in einem undefinierbaren Zustand.<\/p>\n Auf der patchmanagement.org-Mailing-Liste ist mir die Diskussion\u00a0For Secureboot certificate installation is anyone seeing repeated 1801 events?<\/a> untergekommen. Dort erw\u00e4hnen Teilnehmer ebenfalls Eintr\u00e4ge in der Ereignisanzeige, die in Verbindung mit dem Secure Boot-Zertifikat und dessen Update stehen. Dort geht es auch um Dell-Systeme und es hei\u00dft, viele Systeme ben\u00f6tigten BIOS-Updates, um die Zertifikate aktualisieren zu k\u00f6nnen.<\/p><\/blockquote>\n Der Leser hat dann nachgeschaut, was SkipReason KI_7\u00a0 bei der HP-Firmware bedeutet und ist auf folgende Definition gesto\u00dfen:<\/p>\n Dieses HP-Ger\u00e4t hat ein bekanntes Kompatibilit\u00e4tsproblem bei Updates f\u00fcr den sicheren Start. Updates f\u00fcr betroffene Modelle werden \u00fcbersprungen, um Probleme zu vermeiden, die auftreten k\u00f6nnen, wenn das erforderliche Firmwareupdate fehlt. Kunden k\u00f6nnen bei HP \u00fcberpr\u00fcfen, ob aktualisierte Firmware verf\u00fcgbar ist, die dieses Problem behebt und das Update f\u00fcr den sicheren Start erm\u00f6glicht. Weitere Informationen finden Sie unter HP-PCs \u2013 Vorbereiten auf neue Windows Secure Boot-Zertifikate | HP-Support\".<\/p><\/blockquote>\n Der Leser schreibt dazu: \"Letzterer Verweis auf die HP-Ver\u00f6ffentlichung f\u00fchrt wieder zum Anfang dieses Schreibens und zur \"SBKPFV3\"- Problematik\". Sprich: HP wei\u00df selbst nicht, was man da tut. Der Leser fragt: \"Was n\u00fctzt das Pausieren von Updates, um bekannte Kompatibilit\u00e4tsprobleme angeblich zu l\u00f6sen und die Updates (ohne L\u00f6sung) doch zu starten und das System zu gef\u00e4hrden?<\/p>\n Der Leser ist dann auf reddit.com auf den Thread HP l\u00fcgt offensichtlich \u00fcber Secure Boot 2023 CA-Unterst\u00fctzung<\/a> gesto\u00dfen. Die \u00a0sehr informative Diskussion auf Reddit trifft auf den Problemfall des Lesers (HP, G4-Modelle, Bios, etc.) weitgehend zu.\u00a0Beim Studium der Beitr\u00e4ge in dieser Diskussion wurde dem Leser bewusst, dass die (leeren) Eintr\u00e4ge \"n.v.\" in der HP-Liste und das Ausklammern der Teilzeichenfolge \"SBKPFV3\" so zu interpretieren sind, dass HP f\u00fcr die Installation kein BIOS-Update zur Verf\u00fcgung stellen kann und damit dem Vorwurf der L\u00fcge ausweicht. Die Verantwortung wird auf die Updates von Microsoft verlagert, welche aber ohne angepasstes BIOS offensichtlich nicht funktionieren.<\/p>\n Der Leser merkt an, dass die (neue) BIOS-System-Firmware Version 03.00 Rev A als Mindestversion die Kompatibilit\u00e4tsprobleme offensichtlich auch nicht zu l\u00f6sen scheint.\u00a0\u00dcber das weitere Vorgehen zeigt sich der Leser unschl\u00fcssig. Zudem hegt er gro\u00dfe Bedenken, ob der PC nach einem BIOS-Update, w\u00e4hrend einem unterbrochenen aber noch aktiven Update-Vorgangs, noch bootet (Zustand von Sure Start nach Bios-Update zudem ungewiss). Der Leser schrieb: \"Ich habe dabei kein Zutrauen zu HP (vgl. Bitlocker Loop, etc.). Bliebe das Abschalten von SecureBoot oder der Umstieg auf Linux (funktioniert auf dieser Workstation).<\/p>\n Dass die automatische Installation von Zertifikaten bei \u00e4lteren PCs (Windows 11, ohne Bitlocker, ohne Microsoft-Konto) bei Windows Updates v\u00f6llig problemfrei funktioniert, hat der Leser bei seiner Dell Workstation T5820 aus dem Jahr 2018 erlebt (lediglich ein au\u00dferplanm\u00e4\u00dfiger Neustart zum Umbenennen von neuen Zertifikaten war erforderlich).<\/p>\n Der Leser schrieb, dass er\u00a0HP-Ger\u00e4te sicherlich nicht mehr kaufen werde, er will diesen \u00c4rger und die vielen damit verbundenen Recherchen nicht mehr haben.<\/p>\n Der Leser merkt an, dass die n\u00e4chsten Probleme mit den Windows-Start-Manager-Sperrungen f\u00fcr \u00c4nderungen und deren Verwaltung bereits warten und verweist auf den Microsoft-Supportabschnitt Aktualisieren der Windows-Installationsmedien<\/a>.<\/p>\n In einer weiteren Nachtrags-Mail erg\u00e4nzt der Leser, dass sein\u00a0Verdacht, dass das in der HP Workstation integrierte System HP Sure Start (Hard- und Software) zur Laufzeit UEFI Secure Boot Zertifikate und deren Abspeicherung in der Firmware \u00fcberwacht und gegebenenfalls auch sperrt (db,dbx, KEK, KEK) u.a. auf Seite 12 der HP Ver\u00f6ffentlichung \"HP Sure Start Whitepaper<\/a>\"- Abschnitt \"Secure boot keys protection\"\u00a0 ausf\u00fchrlicher beschrieben ist.<\/p>\n Dieser Schutzmechanismus ist standardm\u00e4\u00dfig\u00a0 aktiviert (vgl Seite 20, \"HP Sure Start provides superb firmware protection\" ), habe aber in dem umfangreichen White Paper keinen Hinweis gefunden wie dieser Mechanismus deaktiviert werden kann (vgl. Seite 18 \"HP Sure Start provides superb firmware protection\").<\/p>\n HP Sure Start ist laut Leser bei Microsoft-Updates bereits unangenehm aufgefallen. Der Leser hat die Webseiten Computers stuck in startup-loop \"Protected by HP Sure Start\" after installing June 14, 2022\u2014KB5014699<\/a> und HP Business Produkte \u2013 Bei kommerziellen Produkten (2017 \u2013 2023) mit Sure Start tritt nach der kumulativen monatlichen Betriebssystemaktualisierung von Microsoft beim Systemstart m\u00f6glicherweise eine Fehlermeldung von Secure Boot (Sicherer Systemstart) auf<\/a> als belegt verlinkt.<\/p>\n Der Leser wird f\u00fcr die HP Workstation Z4G4 Sure Start\/ Secure Boot beide deaktivieren. Bei administrator.de bin ich die Tage \u00fcber diese Diskussion<\/a> zur Zertifikatsaktualisierung beim\u00a0HP Elitedesk 400 G6 (Desktop Mini PC) gesto\u00dfen. H\u00f6rt sich alles nicht nach einem Easy Going an. Wie sind die Erfahrungen in der Leserschaft diesbez\u00fcglich?<\/p>\n \u00c4hnliche Artikel:<\/strong> Am 24. Juni 2026 laufen die ersten Secure Boot-Zertifikate f\u00fcr Windows-Systeme (und f\u00fcr Linux-Systeme, sofern die Secure Boot nutzen) ab. Microsoft versucht seit Monaten, mithilfe der IT-Administratoren, die Systeme mit neuen Secure Boot-Zertifikaten zu aktualisieren. Scheint aber nicht immer einfach … Weiterlesen Zum 24. Juni 2026 laufen die ersten Secure Boot-Zertifikate, die vor 15 Jahren (2011) f\u00fcr Windows 8-Maschinen ausgestellt wurden, ab. Microsoft hat im Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026<\/a>\u00a0folgende Tabelle mit der Liste der ablaufenden Zertifikate ver\u00f6ffentlich.<\/p>\n
![\"Windows](\"https:\/\/i.postimg.cc\/FHf8wS5d\/image.png\")
<\/p>\nLesererfahrung HP Workstation Update<\/h2>\n
BIOS-Version als Voraussetzung f\u00fcr Secure Boot-Update<\/h3>\n
(Get-CimInstance -ClassName Win32_ComputerSystemProduct).Version<\/pre>\n
Neue HP BIOS-System-Firmware Version 03.00 Rev A<\/h3>\n
\nDer neue Support f\u00fcr die Keys ist im HP-Artikel Alle HP Commercial- und Workstation-Computer \u2013 Computer bleibt nach einer Aktualisierung des BIOS in der BitLocker Wiederherstellungsschleife h\u00e4ngen<\/a> zu sehen, auf den in der HP-Ver\u00f6ffentlichung im Abschnitt \"Bekannte Probleme\" verwiesen wird (Bitlocker Loop).<\/p>\nErfahrungen zu Microsofts Vorgehen beim Zertifikate-Update<\/h3>\n
Ereignisanzeige zeigt Fehler 1802, 1797<\/h3>\n
Was bedeutet SkipReason: KI_7?<\/h3>\n
Wenn die Katze sich in den Schwanz bei\u00dft<\/h3>\n
N\u00e4chster \u00c4rger vorprogrammiert?<\/h2>\n
\nMicrosofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/a>
\nAchtung: Microsofts UEFI Zertifikat l\u00e4uft am 19. Okt. 2026 aus \u2013 Secure Boot betroffen<\/a>
\nWindows 10: Chaos beim Austausch neuer Secure Boot-Keys?<\/a>
\nWindows Januar 2026 Update tauscht Secure Boot Zertifikate<\/a>
\nFAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)<\/a>
\nWindows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?<\/a>
\nWas passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?<\/a>
\nWindows Server f\u00fcr Secure Boot-Zertifikat-Updates vorbereiten<\/a>
\nWindows Secure Boot und der Zertifikatswechsel: Microsoft Video-Session<\/a>
\nSecure Boot-Zertifikatswechsel: Ein Playbook von Microsoft<\/a>\u00a0\u2013 Teil 1
\nSecure Boot-Zertifikatswechsel: Es gibt H\u00fcrden beim Austausch<\/a>\u00a0\u2013 Teil 2
\nWindows Secure Boot News-Splitter (Mai 2026): Sample Secure Boot E2E Automation Guide<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"