Secure-Boot-Zertifikate: Kritische Ablaufdaten am 24. und 27. Juni
20.06.2026 - 20:54:54 | boerse-global.de
Betroffen sind sowohl Windows- als auch Linux-Systeme weltweit.
Der Key Exchange Key (KEK) CA 2011 verliert am 24. Juni 2026 seine Gültigkeit, nur drei Tage später folgt das UEFI CA 2011 am 27. Juni. Microsoft hat bereits einen Nachfolger parat: Die 2023er-Zertifikate sollen bis 2038 halten.
Was passiert mit ungeschützten Systemen?
Anzeige: Bereiten Sie Ihre Systeme jetzt auf den Zertifikatsablauf vor – mit der Schritt-für-Schritt-Checkliste für Secure-Boot-Update, BitLocker-Pause und BIOS-Mindestversionen. Kostenlosen Secure-Boot-Report anfordern
Rechner, die das Update nicht rechtzeitig erhalten, booten zwar weiterhin. Doch sie können künftig keine Secure-Boot-Updates mehr installieren und bleiben damit anfällig für neuartige Angriffe auf die Boot-Ebene. Sicherheitsexperten warnen vor Bootkits und Rootkits, die genau diese Lücke ausnutzen könnten.
Microsoft verteilt die neuen Zertifikate primär über die automatischen Windows-Updates. Nutzer können den Status in der Windows-Sicherheits-App prüfen: Ein grünes Häkchen signalisiert Bereitschaft, gelbe oder rote Warnungen deuten auf nötige Firmware-Updates hin.
Linux-Distributionen unter Zugzwang
Der Zertifikatswechsel betrifft auch die Linux-Welt massiv. Viele Distributionen nutzen den Microsoft-UEFI-CA, um ihre sogenannten „Shim"-Bootloader zu signieren. Red Hat Enterprise Linux 8, 9 und 10 sowie AlmaLinux und Rocky Linux haben bereits doppelt signierte Shims ausgeliefert. Auch die Entwickler von Ubuntu, Fedora und Debian arbeiten an Updates, um Boot-Fehler zu vermeiden.
Hintergrund der Migration ist unter anderem die Sicherheitslücke „LogoFail", die den Boot-Prozess angreifbar machte. Die neuen Zertifikate sollen die Vertrauenskette von Grund auf härten.
Hardware-Anforderungen und BitLocker-Fallen
Enterprise-Hersteller haben spezifische Richtlinien veröffentlicht. Dell etwa verlangt für seine PowerEdge-Server der 14., 15. und 16. Generation bestimmte BIOS-Mindestversionen: Das Modell R660 benötigt Version 2.8.2, der R750 mindestens 1.19.2.
Administratoren sollten vor dem Update BitLocker pausieren und die Windows-Updates zusammen mit den BIOS-Revisionen installieren. Denn das Update KB5094126 vom 9. Juni 2026 hat auf manchen Geräten BitLocker-Wiederherstellungsabfragen ausgelöst – selbst dort, wo BitLocker gar nicht aktiviert war.
Der Grund: Das Secure-Boot-Update verändert die TPM-Plattformkonfigurationsregister (PCR), was das System fälschlich als Sicherheitsverletzung interpretiert. Besonders anfällig sind HP-Enterprise-Geräte wie das EliteBook 840 G10 mit einer 100-MB-EFI-Partition. Fehlt der BitLocker-Wiederherstellungsschlüssel, droht eine komplette Neuinstallation.
Anzeige: Vor dem Update: BitLocker-Wiederherstellungsabfragen vermeiden. Die Anleitung zeigt, wie Sie TPM-Änderungen sicher handhaben und Ihre Recovery-Keys bereithalten. BitLocker-Sicherheitsleitfaden jetzt sichern
Sicherheitslücken und Windows 11 26H2
Der Zertifikatswechsel fällt mit der Offenlegung mehrerer Schwachstellen zusammen. Dazu gehören CVE-2026-45585 und CVE-2026-50507, die BitLocker-Umgehungen ermöglichen. CVE-2026-21265 adressiert spezifisch die Risiken des auslaufenden UEFI-CA. Das Update Anfang Juni schloss insgesamt 208 Sicherheitslücken, fünf davon wurden bereits aktiv ausgenutzt.
Parallel dazu bestätigte Microsoft am 19. Juni 2026: Das kommende Windows 11 26H2 wird im Herbst als „Enablement Package" ausgeliefert. Es baut auf dem 24H2-Code auf und setzt das kumulative Update vom Mai 2026 voraus. Neue Hardware-Anforderungen bringt es nicht, doch IT-Abteilungen sollten mit Kompatibilitätstests beginnen – insbesondere für Sicherheitskonfigurationen wie Credential Guard und WDAC-Richtlinien.
