Drei kritische Zertifikate aus dem Jahr 2011 erreichen in den kommenden Monaten ihr Ablaufdatum – betroffen sind Windows, Linux und virtualisierte Umgebungen.
Microsoft leitet eine grundlegende Erneuerung seiner Secure-Boot-Infrastruktur ein. Hintergrund: Mehrere zentrale Zertifikate aus dem Jahr 2011 nähern sich ihrem Ablauf. Ohne den Wechsel auf moderne Schlüssel von 2023 drohen Sicherheitslücken auf Firmware-Ebene – und das betrifft nicht nur Windows-Nutzer.
Ablaufdaten im Detail
Anzeige: Die drei kritischen Secure-Boot-Zertifikate laufen ab Juni 2026 aus. Ohne rechtzeitigen Wechsel auf die neuen 2023er-Schlüssel blockieren Sicherheitsupdates – und manuelle Eingriffe riskieren unbootbare Systeme. Unser Leitfaden zeigt Ihnen den automatischen Update-Pfad für Windows und Linux. Kostenlosen Secure-Boot-Leitfaden anfordern
Drei Hauptzertifikate stehen zur Disposition. Das Microsoft Corporation KEK CA 2011 und das Microsoft Corporation UEFI CA 2011 laufen bereits am 27. Juni 2026 ab. Das dritte Zertifikat, die Microsoft Windows Production PCA 2011, folgt im Oktober 2026.
Besonders brisant: Der Ablauf des Key Exchange Key (KEK). Zwar booten bestehende Systeme weiter – die Firmware prüft Ablaufdaten beim Start in der Regel nicht. Doch ohne gültigen KEK lassen sich künftig keine Updates der Signaturdatenbanken (DB und DBX) mehr über Windows Update einspielen. Das bedeutet: Keine neuen Vertrauensstellungen, keine Sperrungen kompromittierter Signaturen. Systeme blieben anfällig für Rootkits und andere Angriffe auf Firmware-Ebene.
Automatischer Wechsel für Windows-Nutzer
Microsoft setzt beim Übergang auf automatische Updates. Nutzer von Windows 11 haben in den vergangenen Tagen bereits Systemmeldungen erhalten, wonach Secure Boot eine „alte Boot-Vertrauenskonfiguration“ verwendet. Ein manuelles Eingreifen ist für Standard-Anwender nicht nötig – der Update-Prozess durchläuft eine Validierungsphase, bevor die neuen 2023er-Zertifikate automatisch übernommen werden.
Anders sieht es für Linux-Umgebungen aus. Projekte wie CIQ und Rocky Linux setzen auf doppelt signierte Shims, die sowohl alte als auch neue Zertifikate unterstützen. So soll die Kompatibilität über verschiedene Hardware-Generationen hinweg gewahrt bleiben. Hersteller von Firmware-Updates beginnen in diesem Monat mit der Auslieferung.
Warnung vor manuellen Eingriffen
Sicherheitsforscher raten dringend davon ab, die neuen Zertifikate eigenhändig in den UEFI-Einstellungen zu hinterlegen. Das Risiko: Ein Fehler kann das System unbootbar machen – im Fachjargon: „bricken“. Auch in Unternehmensumgebungen drohen Komplikationen, wenn der UEFI-Status für bestehende Verwaltungstools nicht sichtbar ist.
Unternehmen oft unzureichend vorbereitet
Die Zertifikatsrotation fällt in eine Zeit wachsender Besorgnis über das Management digitaler Schlüssel in großen Organisationen. Eine Studie von DigiCert und Omdia zeigt: Nur 34 Prozent der Unternehmen haben einen vollständigen Überblick über ihre digitalen Zertifikate. 74 Prozent fürchten ernsthaft Ausfälle durch abgelaufene Zertifikate – viele verlassen sich noch auf manuelle Methoden oder isolierte Tools.
Anzeige: Nur 34 Prozent der Unternehmen haben einen vollständigen Überblick über ihre digitalen Zertifikate – 74 Prozent fürchten Ausfälle durch abgelaufene Zertifikate. Unser Report liefert eine Schritt-für-Schritt-Anleitung für den Zertifikatswechsel und Best Practices fürs Management. Zertifikatsmanagement-Report jetzt sichern
Microsoft bietet Informationsveranstaltung an
Um technische Fragen zur Secure-Boot-Umstellung zu klären, hat Microsoft für den 4. Juni 2026 eine „Ask Microsoft Anything“-Session angesetzt. Themen sind der Rollout-Plan, Best Practices für Zertifikats-Updates und die Herausforderungen des Übergangs.
Die neuen Zertifikatsstellen heißen Windows UEFI CA 2023 (für Bootloader) und Microsoft Option ROM UEFI CA 2023 (für Hardware-Firmware). Der neue KEK firmiert unter Microsoft Corporation KEK 2K CA 2023. Systeme, die den Wechsel nicht vollziehen, könnten künftig von sicherheitsrelevanten Updates im Secure-Boot-Ökosystem ausgeschlossen bleiben.
