Auf einen Blick
Microsoft bereitet die Umstellung von Windows Secure Boot Zertifikaten vor, die im Juni 2026 auslaufen. Betroffen sind Signaturketten, die Firmware und Betriebssystem beim Start zur Prüfung von Boot-Komponenten nutzen. Ohne rechtzeitige Aktualisierung können Systeme künftige Secure-Boot-Updates oder neu signierte Startkomponenten ablehnen.
Das Wichtigste
- Microsoft warnt vor dem Ablauf zentraler Secure-Boot-Zertifikate im Juni 2026 und startet die Migration auf neue Zertifikate.
- Windows soll neue UEFI-Zertifikate und Schlüssel über einen gestaffelten Update-Prozess in Firmware-Datenbanken (DB/KEK/DBX) einbringen.
- Geräte ohne passende Firmware- oder Variablen-Updates könnten nach dem Stichtag Probleme bei Secure-Boot-Aktualisierungen und beim Start neu signierter Komponenten bekommen.
Microsoft setzt Frist für Secure-Boot-Umstellung
Microsoft hat Administratoren und Organisationen auf auslaufende Signaturzertifikate im Windows-Secure-Boot-Ökosystem hingewiesen. Die betroffenen Zertifikate verlieren im Juni 2026 ihre Gültigkeit. Damit wächst der Druck, Geräte und Firmware-Bestandteile rechtzeitig auf neue Zertifikatsketten umzustellen, damit Secure Boot weiterhin Aktualisierungen akzeptiert.
Welche Zertifikate auslaufen und was Microsoft ändert
Nach Angaben von Microsoft betrifft der Ablauf insbesondere Secure-Boot-Zertifikate aus der 2011er-Serie, die in vielen UEFI-Firmware-Installationen als Vertrauensanker für die Signaturprüfung hinterlegt sind. Microsoft veröffentlicht seit 2023 Nachfolger-Zertifikate, darunter eine „Windows UEFI CA 2023“, und beschreibt einen Prozess, wie die neuen Einträge in die Secure-Boot-Datenbanken der Geräte gelangen sollen.
Der Hersteller setzt dabei auf eine schrittweise Verteilung über Windows Update und auf Unterstützung durch Gerätehersteller, etwa über Firmware-Updates. Microsoft nennt in seiner Anleitung auch eine Option, mit der Systeme für „Microsoft-managed“ Secure-Boot-Updates freigeschaltet werden können (Registry-Schlüssel „MicrosoftUpdateManagedOptIn“).
Wichtig: Welche konkreten Geräte- und Firmware-Modelle zwingend ein separates OEM-Firmware-Update benötigen, ist bislang offen.
Bedeutung für Deutschland und Europa
In Deutschland und Europa betrifft die Umstellung vor allem Organisationen mit Windows- und UEFI-Secure-Boot-aktivierten Geräten sowie Betreiber gemischter Hardwareflotten. Auswirkungen sind absehbar, wenn Secure-Boot-Datenbanken nach dem Ablauf im Juni 2026 nicht die neuen Zertifikate enthalten: Dann können künftige Secure-Boot-Updates oder neu signierte Boot-Komponenten von Firmware oder Betriebssystem zurückgewiesen werden. Für Privatanwender hängt die praktische Relevanz in der Regel von OEM-Firmware-Updates und der Update-Politik des jeweiligen Systems ab.
Rollout über Windows Update und OEM-Firmware
Microsoft verweist auf einen gestaffelten Rollout, bei dem neue Secure-Boot-Zertifikate und Schlüssel in UEFI-Variablen eingetragen werden sollen. Parallel laufen seit 2024 Maßnahmen zur Aktualisierung und Härtung der Secure-Boot-Sperrlisten (DBX), unter anderem im Zusammenhang mit der Sperrung verwundbarer Boot-Manager. Für Unternehmen gilt damit die Abhängigkeit von einem koordinierten Zusammenspiel aus Windows-Servicing, OEM-Firmware und den im UEFI hinterlegten Vertrauensdaten.
Einordnung
Der anstehende Zertifikatsablauf ist ein Terminereignis mit potenziell operativen Folgen, weil Secure Boot auf fest in Firmware hinterlegte Vertrauensanker angewiesen ist. Microsoft adressiert das mit neuen Zertifikaten und einem Update-Prozess, der auf Windows Update und OEM-Unterstützung setzt. Für größere IT-Umgebungen wird die Umstellung vor allem zu einer Frage der Geräteinventarisierung und Update-Freigaben.
