Mit Windows 8 hat Microsoft Secure Boot eingeführt. Damals noch so nebenbei und ohne Pflicht. Jetzt hat man eine Information vorab herausgegeben, dass die ursprünglichen Zertifikate auslaufen. Und zwar im Juni 2026, bzw. Oktober 2026.
Um es mal gleich vorwegzunehmen: Wer Windows 10 oder Windows 11 installiert hat, regelmäßig die Windows Updates durchführt und auch Secure Boot aktiviert hat, braucht sich in der Consumer-Version (Home, Pro, Education) keine Gedanken zu machen. Hier wird die Aktualisierung über Windows Update durchgeführt. Ob Secure Boot aktiviert ist, erfahrt ihr über Windows-Taste + R -> msinfo32 und dort der Eintrag „Sicherer Startzustand“. Dieser muss auf Ein stehen. Ansonsten ist diese Funktion im BIOS deaktiviert.
Microsoft hat in dem Beitrag eine gute Erklärung für Secure Boot hinzugefügt.
Secure Boot definiert vertrauenswürdigen Code durch eine Firmware-Richtlinie, die während der Herstellung festgelegt wird. Änderungen dieser Richtlinie, wie das Hinzufügen oder Widerrufen von Zertifikaten, werden durch eine Hierarchie von Schlüsseln gesteuert. Diese Hierarchie beginnt mit dem Platform Key (PK), der normalerweise dem Hardwarehersteller gehört, gefolgt vom Key Enrollment Key (KEK) (auch bekannt als Key Exchange Key), der einen Microsoft KEK und andere OEM KEKs umfassen kann. Die Allowed Signature Database (DB) und die Disallowed Signature Database (DBX) legen fest, welcher Code in der UEFI-Umgebung ausgeführt werden kann, bevor das Betriebssystem startet. Die DB enthält Zertifikate, die von Microsoft und dem OEM verwaltet werden, während die DBX von Microsoft mit den neuesten Widerrufen aktualisiert wird. Jede Entität mit einem KEK kann die DB und DBX aktualisieren.
Welche Zertifikate laufen ab?
- Name alt – Ablauf – Name neu
- Microsoft Corporation KEK CA 2011 – Juni 2026 – Microsoft Corporation KEK CA 2023
- Microsoft Windows Production PCA 2011 – Okt. 2026 – Windows UEFI CA 2023
- Microsoft UEFI CA 2011 – Juni 2026 – Microsoft UEFI CA 2023
- Microsoft UEFI CA 2011 – Juni 2026 – Microsoft UEFI CA 2023
Microsoft wird diese Updates schrittweise durchführen. Man fängt mit den Home- und Pro-Systemen an und dann ausweiten, bis alle dann über die neuen Zertifikate verfügen. Auf der Seite wurden auch mögliche Fehler beschrieben, die auftreten können. Aber im Normalfall wird alles im „Hintergrund“ ablaufen.
Info:
- support.microsoft.com/windows-secure-boot-certificate-expiration
- support.microsoft.com/windows-devices-for-home-users
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Bei meinem Acer Notebook mit der aktuellesten Windows 11 Version ist der Eintrag „Sicherer Startzustand“ nicht zu sehen bzw. zu finden.
Windows + R und dann msinfo32
Danke!
Habs korrigiert.
„Sicherer Startzustand“ finde da nicht.
Ich weiß aber, dass ich das im BIOS aktiviert habe.
Bei mir ist auch nix davon zu sehen: auf altem Notebook und auf nicht mehr jungem Desktop (beide noch Win10).
(Ist das vielleicht die Quelle MS-Pfuschdienst gewesen?)
Übrigens: Bei mir ist Secure Boot seit längerem abgeschaltet, denn sonst würde er nicht mehr booten!
Und das ist so seit RAM-Erweiterung auf 16 GB … (any idea?)
— Sehe hier gerade von juergen für Win11: msinfo32.. danke, gilt auch für Win10. Und hier steht dann entsprechend „Sicherer Startzustand = Aus“.
Damit verschiebt sich bei mir das Thema auf : warum muss ich Secure Boot ausgeschaltet lassen..
Habs gerade unter W11 auch nachsehen wollen:
gockeln bringt :: “ msinfo32 “ muss ausgeführt werden
-> sollte im Artikel-Text geändert werden
( für W10 auch ??? -> weiss nich )
mfg juergen
Guten Tag,
Das KEK Zertifikat ist notwendig, um DB und DBX zu aktualisieren.
KEK sozusagen die Erlaubnis für das Update von DB und DBX.
Das KEK Zertifikat läuft aber auch ab.
Wie wird das KEK Zertifikat aktualisiert? Passiert das automatisch über Windows Update oder muss man das selbst manuell machen?
Vielen Dank?
https://github.com/cjee21/Check-UEFISecureBootVariables
Perfekt. So weit interessant. Aber Update KEK nicht gefunden. Nur Update DB, DBX.
Aber das geht ja über Windows Update.
Hab mal auf die Schnelle rumgeklickt. Die Informationen sind ja gewaltig.
Das stand z. B. bei Microsoft:
Hinweis
Das Microsoft Corporation KEK CA 2011-Zertifikat wird im Jahr 2026 ablaufen. Für das neue Microsoft Corporation KEK CA 2023-Zertifikat müssen alle OEMs Updates erstellen, signieren und an Microsoft übermitteln. Auf diese Weise kann Microsoft marktübliche Geräte mit dem neuen Microsoft KEK-Zertifikat aktualisieren, damit Systeme auch nach 2026 weiterhin DB- und DBX-Updates erhalten. Anweisungen und Begleitmaterial für Tests finden Sie unter https://aka.ms/KEKUpdatePackage
Mit dem KEK Zertifikat wird ja lustig.
Wird Win 11 Iot Enterprise Ltsc auch über Update versorgt oder ist manuelles Handeln erforderlich?