(Original 27.06.2025): Mit Windows 8 hat Microsoft Secure Boot eingeführt. Damals noch so nebenbei und ohne Pflicht. Jetzt hat man eine Information vorab herausgegeben, dass die ursprünglichen Zertifikate auslaufen. Und zwar im Juni 2026, bzw. Oktober 2026.
Um es mal gleich vorwegzunehmen: Wer Windows 10 oder Windows 11 installiert hat, regelmäßig die Windows Updates durchführt und auch Secure Boot aktiviert hat, braucht sich in der Consumer-Version (Home, Pro, Education) keine Gedanken zu machen. Hier wird die Aktualisierung über Windows Update durchgeführt. Ob Secure Boot aktiviert ist, erfahrt ihr über Windows-Taste + R -> msinfo32 und dort der Eintrag „Sicherer Startzustand“. Dieser muss auf Ein stehen. Ansonsten ist diese Funktion im BIOS deaktiviert.
Microsoft hat in dem Beitrag eine gute Erklärung für Secure Boot hinzugefügt.
Secure Boot definiert vertrauenswürdigen Code durch eine Firmware-Richtlinie, die während der Herstellung festgelegt wird. Änderungen dieser Richtlinie, wie das Hinzufügen oder Widerrufen von Zertifikaten, werden durch eine Hierarchie von Schlüsseln gesteuert. Diese Hierarchie beginnt mit dem Platform Key (PK), der normalerweise dem Hardwarehersteller gehört, gefolgt vom Key Enrollment Key (KEK) (auch bekannt als Key Exchange Key), der einen Microsoft KEK und andere OEM KEKs umfassen kann. Die Allowed Signature Database (DB) und die Disallowed Signature Database (DBX) legen fest, welcher Code in der UEFI-Umgebung ausgeführt werden kann, bevor das Betriebssystem startet. Die DB enthält Zertifikate, die von Microsoft und dem OEM verwaltet werden, während die DBX von Microsoft mit den neuesten Widerrufen aktualisiert wird. Jede Entität mit einem KEK kann die DB und DBX aktualisieren.
Welche Zertifikate laufen ab?
- Name alt – Ablauf – Name neu
- Microsoft Corporation KEK CA 2011 – Juni 2026 – Microsoft Corporation KEK CA 2023
- Microsoft Windows Production PCA 2011 – Okt. 2026 – Windows UEFI CA 2023
- Microsoft UEFI CA 2011 – Juni 2026 – Microsoft UEFI CA 2023
- Microsoft UEFI CA 2011 – Juni 2026 – Microsoft UEFI CA 2023
Microsoft wird diese Updates schrittweise durchführen. Man fängt mit den Home- und Pro-Systemen an und dann ausweiten, bis alle dann über die neuen Zertifikate verfügen. Auf der Seite wurden auch mögliche Fehler beschrieben, die auftreten können. Aber im Normalfall wird alles im „Hintergrund“ ablaufen.
Überprüfen kann man es über PowerShell:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Wird true ausgegeben, ist das neue Zertifikat schon enthalten.
Info:
- support.microsoft.com/windows-secure-boot-certificate-expiration
- support.microsoft.com/windows-devices-for-home-users
Secure Boot FAQ
(Update 16.09.2025): Microsoft hat jetzt noch eine zusätzliche Seite mit den häufig gestellten Fragen zum sicheren Start veröffentlicht.
Dabei wird auch noch einmal klargestellt, dass private Geräte das neue Zertifikat über Windows Update erhalten haben oder erhalten werden. Hier muss man also nicht eingreifen. Microsoft spricht hier von Computern, die von Microsoft verwaltet werden. Werden Computer in Firmen verwaltet, dann muss sich die IT selbst darum kümmern.
- Geräte mit Windows 10 werden die sicherheitsrelevanten Updates über das ESU-Programm erhalten.
- Wird das Zertifikat nicht erneuert, werden auch keine sicherheitsrelevanten Updates für den Boot-Manager oder Secure Boot installiert.
- Zusätzlich gibt es noch Antworten für IT-verwaltete Systeme
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Bei meinem Acer Notebook mit der aktuellesten Windows 11 Version ist der Eintrag „Sicherer Startzustand“ nicht zu sehen bzw. zu finden.
Windows + R und dann msinfo32
Danke!
Habs korrigiert.
„Sicherer Startzustand“ finde da nicht.
Ich weiß aber, dass ich das im BIOS aktiviert habe.
Bei mir ist auch nix davon zu sehen: auf altem Notebook und auf nicht mehr jungem Desktop (beide noch Win10).
(Ist das vielleicht die Quelle MS-Pfuschdienst gewesen?)
Übrigens: Bei mir ist Secure Boot seit längerem abgeschaltet, denn sonst würde er nicht mehr booten!
Und das ist so seit RAM-Erweiterung auf 16 GB … (any idea?)
— Sehe hier gerade von juergen für Win11: msinfo32.. danke, gilt auch für Win10. Und hier steht dann entsprechend „Sicherer Startzustand = Aus“.
Damit verschiebt sich bei mir das Thema auf : warum muss ich Secure Boot ausgeschaltet lassen..
Habs gerade unter W11 auch nachsehen wollen:
gockeln bringt :: “ msinfo32 “ muss ausgeführt werden
-> sollte im Artikel-Text geändert werden
( für W10 auch ??? -> weiss nich )
mfg juergen
Guten Tag,
Das KEK Zertifikat ist notwendig, um DB und DBX zu aktualisieren.
KEK sozusagen die Erlaubnis für das Update von DB und DBX.
Das KEK Zertifikat läuft aber auch ab.
Wie wird das KEK Zertifikat aktualisiert? Passiert das automatisch über Windows Update oder muss man das selbst manuell machen?
Vielen Dank?
https://github.com/cjee21/Check-UEFISecureBootVariables
Perfekt. So weit interessant. Aber Update KEK nicht gefunden. Nur Update DB, DBX.
Aber das geht ja über Windows Update.
Hab mal auf die Schnelle rumgeklickt. Die Informationen sind ja gewaltig.
Das stand z. B. bei Microsoft:
Hinweis
Das Microsoft Corporation KEK CA 2011-Zertifikat wird im Jahr 2026 ablaufen. Für das neue Microsoft Corporation KEK CA 2023-Zertifikat müssen alle OEMs Updates erstellen, signieren und an Microsoft übermitteln. Auf diese Weise kann Microsoft marktübliche Geräte mit dem neuen Microsoft KEK-Zertifikat aktualisieren, damit Systeme auch nach 2026 weiterhin DB- und DBX-Updates erhalten. Anweisungen und Begleitmaterial für Tests finden Sie unter https://aka.ms/KEKUpdatePackage
Mit dem KEK Zertifikat wird ja lustig.
Wird Win 11 Iot Enterprise Ltsc auch über Update versorgt oder ist manuelles Handeln erforderlich?
Blöde Frage das Problem existiert ja auch auf allen Server Systemen. Wie geht MS hier vor bei Virtualisierung und so? Wir haben Vmware Esxi am laufen wo einige Server 2019 Secure Boot aktiv haben und derzeit noch funktionieren.
Habe bei mir Win 11 installiert, aber mein UEFI Bios hat kein Secure Boot ,es ist von 2014.Was muss ich machen? Startet dann irgentwann mein Win nicht mehr?
danke
Wenn du Windows 11 so installiert hast, brauchst du dir keine Gedanken zu machen.
Wichtig ist TPM, nicht Secure Boot.
Habe gelesen, dass sogar Probleme mit Grafikkarten entstehen können.
Nvidia GOP für uefi mit MS Zertifikat CA 2011 signiert .
Kein Start mehr wegen Secure Boot.
Ich werde mal Asus fragen, ob neues vbios kommt.
Das Ablaufen eines Zertifikates macht normalerweise keine Probleme, da Signaturen auch einen signierten Zeitstempel haben und damit überprüft werden kann, ob das Zertifikat zum Signaturzeitpunkt gültig war.
Problematisch wird es erst, wenn das alte Zertifikat gesperrt oder gelöscht wird. Das wird Microsoft aber hoffentlich nicht machen.
Nach dem Aufschrei, als bekannt wurde, dass Windows 11 24H2 nicht mehr auf Systemen älter als etwa 2008 laufen würde (kein SSE4.2), kann ich mir nicht vorstellen, dass Microsoft einfach so alle PCs älter als 2024 unbrauchbar machen würde.
Wobei ich immer noch nicht verstehen kann wer sich Windows 11 (oder sogar schon Windows 10) auf einem ur-uralt PC ohne SSE 4.2 von vor 2008 antun will.
Ich Zitiere wie folgt;
NVIDIA Official Tools
NVIDIA provide tools to update GOP, these don’t change the vBIOS version:
v1.1 – https://www.nvidia.com/content/DriverDownloads/confirmation.php?url=/Windows/uefi/firmware/1.1/NVIDIA_DisplayPort_Firmware_Updater_1.1-x64.exe&firmware=1&lang=us&type=Other (states DisplayPort but is GOP)
v1.2 – https://www.nvidia.com/content/DriverDownloads/confirmation.php?url=/Windows/uefi/firmware/1.2/NVIDIA_UEFI_Firmware_Updater_1.2-x64.exe&firmware=1&lang=us&type=Other
v 2.0 – https://www.nvidia.com/content/DriverDownloads/confirmation.php?url=/Windows/uefi/firmware/2.0/NVIDIA_UEFI_Firmware_Updater_2.0-x64.exe&firmware=1&lang=us&type=Other
UEFI GOP updaters that will a) scan for a supported GPU then b) if a GOP update for the supported GPU is found, ask if you wish to update. GPU support varies so check each version e.g. start with latest v2.0 and work down to v1.1 – stop once a UEFI GOP update is found.
Zitat/ ende.
Quelle;
https://old.reddit.com/r/nvidia/comments/1n1jroi/psa_secure_boot_2026_june_cert_expiry_can_block/
Gruß Fred.
Ja, das kann noch interessant werde, Aber so ganz habe ich das mit dem Zertifikat für Option-ROMs noch nicht verstanden und was genau Secure Boot mit in dem abgelaufenen (nicht blockierten) Zertifikat macht. Aber wenn es damit Probleme geben sollte, dürfte das sämtliche Hardware betreffen, welche über ein UEFI Option-ROM verfügen.
mögen die Spiele beginnen 😁
gepostet mit der Deskmodder.de-App für Android
Mein UEFI GOP für Secure Boot ist hiermit signiert: UEFI Signer(s) : Microsoft Corporation UEFI CA 2011 — Aber das läuft ja auch ab. Wird es auch blockiert (DBX)?
Ist UEFI Option-ROM dann was anderes? Ich denke ja.
Ich habe auf meinem Hardware „Vorkriegs-PC“ die 25H2 Version am laufen. Windows 11 wurde mit Rufus installiert. Mein „Secure Boot State“ unter msinfo32 meldet mir ein „Unsupported“. Ist dann Mitte/Ende 2026 Schicht im Schacht…?
Wenn du kein Secure Boot hast, wird da auch nichts aktualisiert. Also kein Schicht im Schacht.
Vielen Dank für die rasche Info
Bei mir ist Secure Boot deaktiviert. TPM ist vorhanden(einstellt im Bios) und wird auch in Geräte-Manager gelistet. Schätze mal,das ich keine Probleme haben werde,mit den Zertifikaten.
Rechner von 2022, neues Motherboard, neuer Prozessor, neue Speicher, neue Festplatte.. und schon geht das Spielchen wieder los. Secure boot certificates „false“. PCA 2011, UEFI CA 2011.
Kann ich diese neuen 2023-er Zertifikate nicht manuell ins BIOS laden? Warum wird das von MS nicht als Download mit Workaround/Routine angeboten? Zeitweise lief Rechner default „ohne“ Secure Boot und hat so das Update verschlafen, das eine Routine bereitstellte. Jetz hab ich das Problem.
Abwarten. Das Update erfolgt mit den Sicherheitsupdates am Patchday. Allerding geschieht das, aus welchen Gründen auch immer, nicht automatisch. Kann an BitLocker liegen, am TPM 2.0 oder das UEFI unterstützt das nicht oder blockiert es. Microsoft äußert sich dazu nicht so genau. Aber im Moment ist das auch noch egal, ob das CA 2023 eingetragen ist oder nicht. CA 2011 und CA 2023 laufen parallel. Auf eigenes Risiko kann Du es manuell versuchen:
https://support.microsoft.com/de-de/topic/verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-%C3%A4nderungen-des-sicheren-starts-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
Allerdings würde ich zur Zeit noch den Punkt 3 (Aktivieren Sie die Sperrung) auslassen, außer Du bist mit der Erstellung von ISOs mit dem neuen Bootmanager vertraut. Dieser Punkt wird derzeit auch noch nicht automatisch durchgeführt.
ooooh ich mache mir Sorgen.