Microsoft hat heute einen Supportbeitrag und auch einen Blogbeitrag zum Thema Secure Boot Zertifikate veröffentlicht. Dabei geht es um die im Juni 2026 auslaufenden Secure Boot Zertifikate von 2011. Bis dahin werden die neuen Secure Boot Zertifikate von 2023 den Dienst übernehmen.
Wir haben über das Thema schon berichtet. Wichtig zu wissen ist, dass der Wechsel der Zertifikate im Großen und Ganzen automatisch ablaufen wird. Einige haben in der letzten Zeit schon ein Update dafür erhalten. Man muss also nichts unternehmen.
Nur in Einzelfällen ist ein BIOS-Update vom Gerätehersteller notwendig. Aber da arbeitet Microsoft eng mit den OEMs zusammen. Auch wenn der Wechsel der Zertifikate nicht stattfinden sollte, kann das Gerät weiterhin genutzt werden. Einzig die Updates für die Boot-bezogenen Sicherheitsupdates werden nicht installiert.
Man sollte jetzt aber nicht in Panik verfallen. Es gibt auf GitHub ein Skript, mit dem man den derzeitigen „Zustand“ prüfen kann. Einfach auf Code klicken und Download ZIP herunterladen und entpacken.
Über die Check UEFI PK, KEK, DB and DBX.cmd kann man dann die Abfrage per Rechtsklick als Administrator starten. Das könnte dann so aussehen.
Den Blogbeitrag findet ihr unter diesem Link
Wenn nach Ausführen in Powershell überall true steht sollte man fein sein:
$var1 = Confirm-SecureBootUEFI
$var2 = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘
$var4 = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match „Microsoft Corporation KEK 2K CA 2023“
$var3 = (Get-Item „C:\Windows\Boot\EFI\bootmgfw.efi“).VersionInfo
$text1 = ‚SecureBootUEFI Status:‘
$text2 = ‚Zertifikat Check Windows Integriertes Zertifikat:‘
$text4 = ‚Zertifikat Check BIOS Integriertes Zertifikat (KEK):‘
$text3 = ‚Windows UEFI Produkt Version:‘
echo $text1
echo $var1
echo $text2
echo $var2
echo $text4
echo $var4
echo $text3
echo $var3
Aber gibt es nur unvollständig wieder. Sat nichts darüber aus, ob auch die DBX aktualisiert wurde, welche SVN-Version aktuell ist und ob der neue Bootmanager verwendet wird. Zeigt diesen noch nicht einmal an.
Setzt das True bei den Zertifikaten nicht das von dir erwähnte voraus?
Nein. Das sagt nur aus, dass die von Dir abgefragten Zertifikate im UEFI installiert wurden. Und du fragst auch nur zwei der vier Zertifikate ab. Keine Info, ob das CA2011 zurückgezogen wurde, ob die DBX aktuell ist und ob der neue Bootmanager verwendet wird. Du fragst nur die Version vom alten Bootmanager mit CA2011 Zertifikat im Windows Onder, Der neue Bootmanager ist im „EFI_EX“Verzeichnis. Aber das alles sagt nichts aus, ob die „EX“ Dateien auch in der Systempartition stehen.
ok, danke für deine Ergänzung…
Also bei mir sind einige Sachen mit einem roten X versehen statt einem grünen Hacken.
X Microsoft Corporation KEK 2K CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Und hier steht:
Windows Bootmgr SVN : None
Windows cdboot SVN : None
Windows wdsmgfw SVN : None
Muss ich mir jetzt Sorgen machen ??
Nein, noch nicht. Du wirst das dafür notwendige Update noch nicht erhalten haben.
Das Script funktioniert nur bei aktivem Secure Boot.
Hat man Secure Boot deaktiviert, wirft das Script viele Fehler.
Und selbst wenn das Zeritifkat abgelaufen sein sollte, kann man immer noch im Secure Boot mit einem Trick booten:
Ins UEFI starten, dort das Systemdatum zurücksetzen auf ein Datum vor Ablauf des Zertifikats, dann booten und das Datum in Windows wieder richtig stellen.
Macht ja auch sonst keinen Sinn, ohne Secure Boot braucht man auch die Zertifikate nicht.
naja da und korrekt sollten sie aber trotzdem sein, man kann sich ja jederzeit dafür entscheiden secure boot doch zu nutzen.
Das mit dem Datum wird aber nicht funktionieren, wenn die CA2011 Zertifikate in der DBX eingetragen werden. Dann sind und bleiben die gesperrt, egal welches Datum man da einträgt. Die kann man, wenn mal Lust hat, auch heute schon in die DBX eintragen.
ich finde es sehr lustig dass das tool sagt das bei meinem pc und laptop secure boot deaktiviert wäre ob wohl es im uefi als eingeschaltet angezeigt wird
hat sich erledigt beim PC mit dem secure Boot da war das ftpm deaktiviert weil ich ein Hardware tpm damals gekauft hatte aber das hatte so nicht geklappt mit dem secure Boot warum auch immer
gepostet mit der Deskmodder.de-App für iOS
Ich habe Secure Boot nicht aktiviert und habe es freiwillig auch nicht vor, hätte aber für den Fall der Fälle gerne die aktuellen Zertifikate. Gibt es eine Möglichkeit Selbige manuell zu beziehen und zu installieren?
Kann sein, dass Dein Bios dabei zerschossen wird. Ernst gemeint.
Ich habe heute mit dem Acer Support telefoniert. Dieser meint, dass es für meinen fünf Jahre alten Gaming Laptop kein Windows-Update für die neuen Boot-Zertifikate geben wird. In meiner Ereignisanzeige von Windows 11 Home 25H2 steht:“Aktualisierte Secure Boot-Zertifikate sind auf diesem Gerät verfügbar, wurden jedoch noch nicht auf die Firmware angewendet. Lesen Sie die veröffentlichten Anweisungen, um die Aktualisierung abzuschließen und den vollständigen Schutz aufrechtzuerhalten.“Laut Acer Support fehlen die Hardwarevoraussetzungen und diese werden laut Acer, wie schon erwähnt, nicht über Windows Update von Acer ausgeliefert. Sehr schade …
Für ein 5 Jahre altes Gerät? Kann ich mir kaum vorstellen.
@moinmoin: Laut Acer Support ist es wohl so. Aber die Hoffnung stirbt zuletzt und vielleicht kommt ja bis Juni doch noch etwas über Windows Update?
Bei mir ist alles grün, bis auf „Microsoft Option ROM UEFI CA 2023“. Wie kann man das nun lösen?
Ok, also ist es nicht so, dass die Geräte dann nicht mehr booten mit abgelaufenen Zertifikaten?