Secure-Boot-Zertifikate, Microsofts

Secure-Boot-Zertifikate: Microsofts 15 Jahre alte Schlüssel laufen aus

22.06.2026 - 03:15:15 | boerse-global.de

Am 24. und 27. Juni 2026 verlieren alte Secure-Boot-Schlüssel ihre Gültigkeit. Betroffen sind Windows- und Linux-Systeme, die auf neue Zertifikate angewiesen sind.

Secure-Boot-Zertifikate laufen aus: Microsofts Fristen im Juni 2026
Secure-Boot-Zertifikate - Ein stilisierter, leuchtender digitaler Schlüssel, der mit einem Vorhängeschloss-Symbol auf einer futuristischen Leiterplatte verschlungen ist. 22.06.2026 - Bild: über boerse-global.de

Ende Juni 2026 verlieren mehrere Secure-Boot-Zertifikate von Microsoft ihre Gültigkeit – ein Einschnitt für Windows- und Linux-Systeme gleichermaßen. Der Wechsel betrifft die grundlegende Absicherung des Bootvorgangs und kommt in einem Monat, der bereits durch eine Rekordzahl an Sicherheitspatches und technische Komplikationen in Unternehmen geprägt ist.

Fristen für den Zertifikatswechsel

Die Branche beobachtet zwei zentrale Termine für das Auslaufen der 2011 ausgestellten Secure-Boot-Zertifikate. Der 24. Juni 2026 markiert die geplante Aberkennung des Vertrauensstatus für bestimmte Zertifikate, während der 27. Juni 2026 das endgültige Ablaufdatum der vor 15 Jahren ausgestellten Schlüssel darstellt. Ein weiteres Zertifikat – die Microsoft Windows Production PCA 2011 – folgt am 19. Oktober 2026.

Anzeige: Wer den Secure-Boot-Status seiner Systeme vor dem Zertifikatsablauf prüfen will, findet in diesem Report eine 3-Minuten-Checkliste und manuelle Einspiel-Anleitung – inklusive Notfallplan für BitLocker-Probleme. Jetzt kostenlosen Secure-Boot-Report anfordern

Microsoft hat bereits reagiert: Seit Februar 2024 verteilt der Konzern über Windows Update neue 2023er-Zertifikate, die bis 2038 gültig sind. Diese nutzen den ECC P-384-Standard, um den Bootprozess gegen hochentwickelte Bedrohungen zu wappnen.

Der Wechsel betrifft auch Linux-Distributionen wie Ubuntu, Fedora und Debian. Da diese Systeme auf einen von Microsoft signierten Shim-Bootloader angewiesen sind, um mit aktiviertem Secure Boot zu funktionieren, müssen auch sie auf die neuen Zertifikate umsteigen.

Auswirkungen auf Hardware und Systemsicherheit

Die Folgen des Zertifikatsablaufs hängen stark vom Alter der Hardware und der Softwarekonfiguration ab. Bei modernen Systemen läuft der Update-Prozess automatisch über Windows Update. Anders sieht es bei Rechnern aus, die die neuen Zertifikate nicht erhalten haben.

Die Sicherheitsrisiken sind erheblich: Zwar booten viele PCs ohne Update zunächst normal, doch fehlen ihnen künftig kritische Sicherheitsupdates für Schwachstellen auf Boot-Ebene. Das macht die Geräte anfällig für UEFI-Bedrohungen wie den BlackLotus-Bootkit oder die LogoFail-Lücke. Einige Fachberichte warnen sogar: Sollte Microsoft die 2011er-Zertifikate vollständig aus der UEFI-Sperrliste (DBX) streichen, drohen auf Systemen ohne die 2023er-Ersatzschlüssel „Secure Boot Violation“-Fehler – der Rechner ließe sich dann gar nicht mehr starten.

Die Hardwarehersteller Dell, HP und Lenovo haben klare Support-Grenzen gezogen. Plattformen, deren „End of Service Life“ vor dem 1. Januar 2026 lag, erhalten unter Umständen keine BIOS-Updates mehr für die neue Zertifikatsstruktur. Auch Windows-11-Installationen auf nicht unterstützter Hardware – etwa per Registry-Bypass – könnten die Updates nicht automatisch beziehen.

Rekord-Patchday und technische Pannen

Der Zertifikatswechsel fällt in einen außergewöhnlich aktiven Wartungsmonat. Am Juni-Patchday 2026 schloss Microsoft eine Rekordzahl von Sicherheitslücken. Ein Bericht zählt 208 behobene Schwachstellen, darunter 38 kritische und drei Zero-Days. Ein anderer Branchendienst nennt 200 Lücken und hebt zwei besonders hervor: einen Secure-Boot-Bypass (CVE-2026-4209) sowie eine treiberbezogene Schwachstelle (CVE-2026-4341).

Doch die Juni-Updates brachten auch Stabilitätsprobleme. Administratoren berichten, dass das Update KB5094126 auf verschiedenen HP- und Dell-Enterprise-Notebooks BitLocker-Wiederherstellungsbildschirme auslöst. Weitere gemeldete Fehler:

  • Dateisystem-Probleme: Der Papierkorb zeigt interne ID-Strings statt der ursprünglichen Dateinamen an – eine Korrektur ist für Mitte Juli angekündigt.
  • Infrastruktur-Ausfälle: OneDrive-Ausfälle auf domänengebundenen PCs sowie diverse Netzwerkverbindungsprobleme.
  • System-Stabilität: Meldungen über Systemabstürze und Leistungseinbußen im Zusammenhang mit der neuen Secure-Boot-Zertifikatsverwaltung.

Anzeige: Nach dem Juni-Patchday KB5094126 melden Administratoren BitLocker-Wiederherstellungsbildschirme auf HP- und Dell-Notebooks. Dieser Leitfaden zeigt, wie Sie die neuen Zertifikate sicher einspielen und Boot-Fehler vermeiden – bevor die 2011er-Schlüssel endgültig ungültig werden. Secure-Boot-Notfallplan jetzt sichern

Prüfung für Systemadministratoren

Administratoren und Heimanwender können den Secure-Boot-Status auf verschiedenen Wegen überprüfen. Die Windows-Sicherheits-App zeigt eine erfolgreiche Konfiguration mit einem grünen Häkchen unter „Gerätesicherheit“ an. Für detailliertere Diagnosen eignen sich das Systeminformations-Tool (msinfo32) oder PowerShell-Befehle, um zu bestätigen, dass Secure Boot aktiv und der UEFI-Modus korrekt eingestellt ist.

Für Umgebungen, die manuelle Eingriffe erfordern – etwa abgeschottete Server oder große Unternehmensflotten – raten Experten zu vorsichtigen Rollouts. Zwar ist die manuelle Installation der vier CA-2023-Zertifikate in die UEFI-Datenbank möglich, doch birgt dies Risiken: Die NVRAM-Speichergrenzen könnten überschritten werden oder auf älteren Mainboards Firmware-Fehler auftreten.

de | wissenschaft | 69599733 |