Ich würde erstmal schauen, ob Windows da vllt doch noch was hinbekommt. Auf SB zu verzichten sollte wirklich das letzte Mittel sein.....

Puh, eher nicht. Aber du musst ja Secure Boot nicht nutzen. Windows funktioniert auch ohne Secure Boot. Und auch die Zertifikate sind nur dann nötig, wenn Secure Boot aktiviert ist. Also einfach aus lassen.

... Secure Boot ist bei PC und Notebook aktiviert.
Der PC ist 12 Jahre, das Notebook 9 Jahre alt. Habe ich da noch irgendeine Chance?

Windows kann in deinem Fall keine Zertifikate aus dem UEFI auslesen und diese auch nicht erneuern. Prüfe, ob Secure Boot im UEFI aktiviert ist!
Wenn das der Fall ist und du ein einigermaßen aktuelles Mainboard (also nicht 10 Jahre alt, oder so) besitzt, könnte ein UEFI Update Abhilfe schaffen.

Deaktivieren sollte aber wirklich die letzte Maßmahme sein, weil sicherer Start heißt nicht umsonst so, Es soll aber Geräte geben, die ohne BIOS-Update nicht auskommen und wenn der Hersteller keines anbietet, bleibt tatsächlich nur abschalten. Sonst bleibt der Bildschirm einfach nur schwarz...

@oli88
Keine Angst. Wenn das mit dem UEFI Update bei dir nicht klappt, mußt du im BIOS einfach das SecureBoot deaktivieren, und gut Ist.
Dann kannst du den PC weiter benutzen.

Hallo Ihr!
Das Ende der alten Windows-Zertifikate neigt sich so langsam dem Ende zu.
Wenn ich nur schon dran denke, bekomme ich Angst was wird danach sein. Kann ich mein PC dann überhaupt noch benutzen?

Folgendes erscheint bei mir nach wie vor mit dem X. Ich glaube, dass das noch nicht ganz vollständig ist.
Habt Ihr mir noch eine Idee was ich tun könnte?

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
[b]X Microsoft Corporation KEK 2K CA 2023[/b]

Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK 2K CA 2023' Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Hinter WindowsUEFICA2023Capable steht 0x00000002 (2).
Über diesem gibt es noch ein UEFICA2023Status, hier steht InProgress dahinter.
Bei "Microsoft Corporation KEK 2K CA 2023" ist bei mir leider definitiv kein Häckchen,
ich werde mal Acer anschreiben, habe da aber eher wenig Hoffnung, das da noch etwas geht.
Wenn da nichts geht, muss ich wohl mein Gerät austauschen müssen, denn ab dem Juni 2026
werde ich es - wenn ich richtig liege - ja nicht mehr nutzen können.
Den Link für ein neues Skript, was soll ich damit tun?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

"Microsoft Corporation KEK 2K CA 2023" sollte auch ein Häkchen haben. Aber das liegt an Acer. Wenn die keine Update liefern, da kann da auch nichts installiert werden.

Und dass die "Defaults" nicht gelesen werden können, ist da auch etwas ungewöhnlich, aber liegt letztendlich auch an Acer. Keine Ahnung, was die da gemacht haben. Eventuell einfach keine Default Zertifikate integriert.

Interessant wäre auch zu sehen, was bei Dir hier in der Registry steht:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]

Ansonsten, gibt auch ein neues Skript: https://github.com/cjee21/Check-UEFISecureBootVariables

Konntet Ihr meine vorherigen Einträge sichten? Was sagt ihr dazu?
In der Ereignisanzeige erscheint die Fehlermeldung TPM-WMI 1801 nach wie vor.
Habt ihr noch eine Idee?

weiterer Nachtrag ... habe nun auch nochmals das Check UEFI ausgeführt und siehe da, die beiden fett-markierten sind nun mit
einem Haken versehen, welche vorher noch mit einem Kreuz gekennzeichnet waren.
Heißt, also ich habe alles?? Oder muss auch das fett-martkierte&unterstrichene unter Current UEFI KEK auch mit einem Haken sein?

20 Dezember 2025
Manufacturer: Acer
Model: Aspire TC-603
BIOS: American Megatrends Inc., P11-A0, P11-A0, ACRSYS - 1072009
Windows version: 22H2 (Build 19045.6691)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
[b][u]X Microsoft Corporation KEK 2K CA 2023[/u][/b]

Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK 2K CA 2023' Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
[b]√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False) [/b]

Default UEFI DB
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Windows
Production PCA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft
Corporation UEFI CA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Windows UEFI CA
2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft UEFI CA
2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Option
ROM UEFI CA 2023'

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

Nachtrag:
Die Fehlermeldung TPM-WMI 1801 erscheint trotzdem noch.

Hallo moinmoin,
danke für deine Hilfe.
Ich habe nun die beiden Befehle im CMD als Admin eingegeben
und siehe da es erscheinen zwei neue Informationen in der Ereignisanzeige:
1) TPM-WMI 1044: Update der Datenbank für sicheres Starten zur Installation des Microsoft Option ROM-UEFI CA 2023-Zertifikats wurde erfolgreich angewendet
2) TPM-WMI 1045: Update der Datenbank für sicheres Starten zur Installation des Microsoft UEFI CA 2023-Zertifikats wurde erfolgreich angewendet
Auch hat sich im Regedit Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
was geändert:
Ordner UEFICA2023Status steht nun auf "inProgress"
Somit sollte es nun hoffentlich passen, oder was meinst du?
Oder muss jetzt auch noch der Hersteller oder Windows aktiv werden?

Einfach nur ins Windows Terminal (Admin) eingeben und Enter drücken.

Hallo DK2000
danke für deine Rückmeldung.
Die beiden Codes die duvgenannt hast, muss ich da was machen bzw. anstoßen? :dankeschoen: