Microsoft warnt am Patch-Day:
Secure Boot-Zertifikat verliert Gültigkeit
Mit Windows 8 führte Microsoft Secure Boot ein, um Manipulationen beim Start des Betriebssystems zu verhindern. Diese UEFI-Zertifikate altern und laufen zwischen Juni und Oktober 2026 ab. Daher gibt es zum Patch-Day jetzt neue Informationen dazu.
Über den Ablauf der Zertifikate berichtet Microsoft schon seit einem Jahr mit immer weiteren Details und Tipps für den Umgang mit den geplanten nötigen Updates. Die neue Information in der Knowledge-Base ist dabei mehr als nur ein Hinweis: Sie macht deutlich, dass der Konzern den Ablauf nicht auf die leichte Schulter nimmt.
Es geht um "Microsoft Corporation KEK CA 2011" und "Microsoft Corporation UEFI CA 2011", die im Juni 2026 (und ein weiteres im Oktober) auslaufen. Betroffen sind physische und virtuelle Windows-Systeme seit 2012 (Windows 10/11, Server), außer Copilot+ PCs mit neuen Zertifikaten und deaktiviertem Secure Boot.
Ohne Update können Systeme nach Juni 2026 keine Secure-Boot-Sicherheitsfixes mehr installieren, neu signierte Software ablehnen und anfällig für Boot-Malware wie BlackLotus sein. Microsoft rollt Updates automatisch aus; Nutzer sollten Windows Update aktivieren und Firmware prüfen.
Wie schätzt ihr das ein? Wartet ihr auf automatische Updates oder plant ihr proaktiv? Die Diskussion ist eröffnet!
Siehe auch:
Erinnerung zum Patch-Day Januar 2026
Microsoft hat zum heutigen Patch-Day-Update einen neuen Hinweis zum Ablauf der Secure Boot-Zertifikate in Windows-Systemen veröffentlicht.
Wichtiger Hinweis von Microsoft: Secure Boot-Zertifikate, die von den meisten Windows-Geräten verwendet werden, laufen ab Juni 2026 aus. Dies könnte die Fähigkeit bestimmter privater und geschäftlicher Geräte beeinträchtigen, sicher zu booten, wenn sie nicht rechtzeitig aktualisiert werden. Um Unterbrechungen zu vermeiden, empfehlen wir, die Anleitung zu lesen und Maßnahmen zu ergreifen, um die Zertifikate im Voraus zu aktualisieren. Weitere Informationen im Secure Boot Playbook.
Über den Ablauf der Zertifikate berichtet Microsoft schon seit einem Jahr mit immer weiteren Details und Tipps für den Umgang mit den geplanten nötigen Updates. Die neue Information in der Knowledge-Base ist dabei mehr als nur ein Hinweis: Sie macht deutlich, dass der Konzern den Ablauf nicht auf die leichte Schulter nimmt.
Betroffene Zertifikate und Systeme
Ab dem Januar-Patch-Day (z. B. KB5073724 für Windows 10 22H2 und KB5074109 für Windows 11 24H2/25H2) enthalten Windows-Qualitätsupdates Gerätedaten, die geeignete Systeme für den automatischen Empfang neuer Secure Boot-Zertifikate identifizieren.Es geht um "Microsoft Corporation KEK CA 2011" und "Microsoft Corporation UEFI CA 2011", die im Juni 2026 (und ein weiteres im Oktober) auslaufen. Betroffen sind physische und virtuelle Windows-Systeme seit 2012 (Windows 10/11, Server), außer Copilot+ PCs mit neuen Zertifikaten und deaktiviertem Secure Boot.
Prüfen und vorbereiten
Ob Secure Boot aktiv ist, lässt sich über Windows-Taste + R → msinfo32 kontrollieren. Der Eintrag Sicherer Startzustand sollte auf Ein stehen. Microsoft empfiehlt, rechtzeitig die Firmware-Updates der jeweiligen Hersteller einzuspielen, damit der Übergang auf die neuen Zertifikate reibungslos klappt.Ohne Update können Systeme nach Juni 2026 keine Secure-Boot-Sicherheitsfixes mehr installieren, neu signierte Software ablehnen und anfällig für Boot-Malware wie BlackLotus sein. Microsoft rollt Updates automatisch aus; Nutzer sollten Windows Update aktivieren und Firmware prüfen.
| Ablaufendes Zertifikat | Ablaufdatum | Neues Zertifikat | Speicherort | Funktion |
| Schlüsselaustauschschlüssel-ZS 2011 der Microsoft Corporation | Juni 2026 | Microsoft Corporation KEK 2K CA 2023 | Im KEK gespeichert | Signiert Updates für DB und DBX. |
| Microsoft Windows Production PCA 2011 | Oktober 2026 | Windows UEFI CA 2023 | In Datenbank gespeichert | Wird zum Signieren des Windows-Startladeprogramms verwendet. |
| Microsoft UEFI CA 2011 | Juni 2026 | Microsoft UEFI CA 2023 | In Datenbank gespeichert | Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen |
| Microsoft UEFI CA 2011 | Juni 2026 | Microsoft Option ROM UEFI CA 2023 | In Datenbank gespeichert | Signiert Options-ROMs von Drittanbietern |
Wichtige Begriffe
Der Schlüsselregistrierungsschlüssel (KEK) ermöglicht die Registrierung neuer Zertifikate der Zertifizierungsstelle (CA). Die Signaturdatenbank (DB) enthält erlaubte Signaturen für den sicheren Start, während die Datenbank für widerrufene Signaturen (DBX) bekannte schädliche Komponenten blockiert.Wie schätzt ihr das ein? Wartet ihr auf automatische Updates oder plant ihr proaktiv? Die Diskussion ist eröffnet!
Was passiert, wenn Zertifikate ablaufen?
Wenn die Secure Boot-Zertifikate ab Juni bzw. Oktober 2026 ablaufen, können betroffene Geräte keine sicherheitsrelevanten Updates mehr erhalten. Das betrifft insbesondere den Bootloader und andere Pre-Boot-Komponenten.
Ohne gültige Zertifikate ist auch die Ausführung neuer, signierter Bootloader nicht mehr möglich. Das kann die Systemintegrität gefährden und zu Bootproblemen führen. Microsoft warnt daher vor möglichen Sicherheitslücken, wenn keine Aktualisierung erfolgt.
Ohne gültige Zertifikate ist auch die Ausführung neuer, signierter Bootloader nicht mehr möglich. Das kann die Systemintegrität gefährden und zu Bootproblemen führen. Microsoft warnt daher vor möglichen Sicherheitslücken, wenn keine Aktualisierung erfolgt.
Muss ich als Privatnutzer etwas tun?
Nein - wenn Sie Windows 10 oder 11 verwenden, regelmäßig Updates installieren und Secure Boot aktiviert ist, kümmert sich Windows Update automatisch um die neuen Zertifikate.
Sie können über Windows-Taste + R ? msinfo32 prüfen, ob "Sicherer Startzustand" auf "Ein" steht. Dann ist Secure Boot aktiv. Ist dies nicht der Fall, muss es im BIOS manuell aktiviert werden.
Sie können über Windows-Taste + R ? msinfo32 prüfen, ob "Sicherer Startzustand" auf "Ein" steht. Dann ist Secure Boot aktiv. Ist dies nicht der Fall, muss es im BIOS manuell aktiviert werden.
Wie prüfe ich, ob mein System aktualisiert ist?
Über PowerShell kann geprüft werden, ob das neue Zertifikat bereits vorhanden ist. Verwenden Sie folgenden Befehl:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Gibt der Befehl "True" zurück, ist das neue Zertifikat installiert. Alternativ können Tools wie SmartMonTools oder die Microsoft Seatools verwendet werden.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Gibt der Befehl "True" zurück, ist das neue Zertifikat installiert. Alternativ können Tools wie SmartMonTools oder die Microsoft Seatools verwendet werden.
Welche Zertifikate laufen 2026 ab?
Es laufen mehrere Microsoft-Zertifikate ab, darunter:
- Microsoft Corporation KEK CA 2011 (Juni 2026)
- Microsoft Windows Production PCA 2011 (Okt. 2026)
- Microsoft UEFI CA 2011 (Juni 2026)
Diese werden durch neue 2023er-Zertifikate ersetzt, z. B. "Windows UEFI CA 2023". Die neuen Zertifikate ermöglichen weiterhin sichere Bootvorgänge und signierte Updates.
- Microsoft Corporation KEK CA 2011 (Juni 2026)
- Microsoft Windows Production PCA 2011 (Okt. 2026)
- Microsoft UEFI CA 2011 (Juni 2026)
Diese werden durch neue 2023er-Zertifikate ersetzt, z. B. "Windows UEFI CA 2023". Die neuen Zertifikate ermöglichen weiterhin sichere Bootvorgänge und signierte Updates.
Was müssen IT-Admins in Unternehmen tun?
Unternehmen, die ihre Geräte selbst verwalten, müssen die Zertifikate manuell aktualisieren. Microsoft stellt dafür detaillierte Anleitungen bereit.
Ohne diese Maßnahmen erhalten Systeme keine sicherheitsrelevanten Updates für Secure Boot mehr. Besonders wichtig ist dies für Server, LTSC-Systeme oder Geräte mit deaktiviertem Windows Update.
Ohne diese Maßnahmen erhalten Systeme keine sicherheitsrelevanten Updates für Secure Boot mehr. Besonders wichtig ist dies für Server, LTSC-Systeme oder Geräte mit deaktiviertem Windows Update.
Was passiert nach einem BIOS-Reset?
Wird das BIOS auf Werkseinstellungen zurückgesetzt, könnte das neue Zertifikat verloren gehen. Systeme, die bereits mit 2023-Zertifikaten arbeiten, booten dann unter Umständen nicht mehr.
In diesem Fall muss das Zertifikat per Recovery-USB erneut eingespielt werden. Microsoft beschreibt diesen Vorgang im Detail im offiziellen Support-Dokument.
In diesem Fall muss das Zertifikat per Recovery-USB erneut eingespielt werden. Microsoft beschreibt diesen Vorgang im Detail im offiziellen Support-Dokument.
Was gilt für Windows 10 nach 2025?
Ab dem 14. Oktober 2025 erhält Windows 10 keine regulären Updates mehr. Wer weiterhin Sicherheitsupdates (inkl. Zertifikate) möchte, muss am ESU-Programm teilnehmen.
Ausgenommen sind LTSC- und LTSB-Versionen, die weiterhin unterstützt werden. Ohne ESU oder gültige Zertifikate ist das System anfällig für Boot-Sicherheitslücken.
Ausgenommen sind LTSC- und LTSB-Versionen, die weiterhin unterstützt werden. Ohne ESU oder gültige Zertifikate ist das System anfällig für Boot-Sicherheitslücken.
Zusammenfassung
- Microsoft veröffentlicht am 13. Januar 2026 Update zum Ablauf von Secure Boot
- Windows-Updates liefern neue Zertifikate automatisch nach Prüfung des Systems
- Secure Boot-Zertifikate laufen ab Juni 2026 ab und betreffen die meisten Geräte
- Ohne Update drohen Sicherheitslücken und Ablehnung von neu signierter Software
- Betroffen sind Windows-Systeme seit 2012, ausgenommen Copilot+ PCs
- Automatischer Rollout erfolgt, Nutzer sollten Windows Update aktiviert halten
Siehe auch:
- Windows 10 bekommt jetzt ein finales Kompatibilitäts-Update
- Windows 11 vs. Windows 10: Microsoft täuscht Nutzer mit Benchmarks
- Daran arbeitet Microsoft: Optionales Update für Windows 10 gestartet
- Windows 10: Endverbraucher erhalten Extended Security Updates gratis
- Ende von Windows 10: Berliner Behörden verschlafen Windows-Update
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
- Massiver Firewall-Hack: Viele der wichtigsten Netze der Welt geknackt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen