Grobi847 hat geschrieben: 26.06.2026, 20:06Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Das Datum bezieht sich auf neu zu zertifizierende Dateien.
Bestehende signierte KEK CA 2011 Dateien bleiben gültig, bestehende DB, DBX Dateien können von der Betriebssystemebene eingespielt werden.
Neue DB, DBX mit KEK CA 2011 signierte Dateien wird es nicht geben.
Ein SVN11 bootloader kann in der Zukunft mit neuer KEK CA 2011 DBX nicht gesperrt werden. Das ist heute kein Problem.
Ein aktiver DB CA 2011 ist ein anderes Thema. Da steht die Ankündigung der automatisierten Sperrung noch aus.
Bisher wird dazu eine 6 Monatige Vorwarnzeit genannt, wird wohl nicht mehr dieses Jahr automatisert gesperrt.
Manuell kann DB CA 2011 über die DBX geperrt werden, die daraus resultierenden Anpassungen (neue Bootmedien) sind dann vom Endanweder zu pflegen. Z.B. das Media Creation Tool ist noch nicht so weit.
Die DBX CA 2011 sperre ist aktuell mit KEK CA 2011 signiert.
Aktuell ist ein KEK CA 2011 sinnvoll. Eine Sperre ist nicht angedacht, es gibt keine Andeutung dazu.
2027/2028 oder später kann es eine Änderung geben.
Juxtopose hat geschrieben: 10.07.2026, 17:17Mittlerweile hab ich fast resigniert und möchte einfach nur noch wissen, ob ICH was tun kann, außer (ab)warten ob/wann die Blockade gelöst wird.
Die Einträge werden auf UEFI Ebene gespeichert, nur das UEFI kann schreiben. Das Betriebssystem kann Anfragen an das UEFI stellen.
Das UEFI blockiert den Zugriff, eine Änderung ist vom Betriebssystem aus nicht möglich.
Es ist fraglich, ob es ein UEFI Update vom Laptophersteller geben wird.
Ein manueller Eingriff in das UEFI ist ein Ansatz, dazu gibt es verschiedene Wege je nach vorhandenem Rechner.
Da wäre eine Anleitung von Medion für den Laptop angebracht. Aus der Ferne ist das Rätselraten.
Möglicherweise gib es eine UEFI einen Punkt die Blockade zu lösen, dann werden Anfragen vom Betriebsystem verarbeitet.
Möglicherweise gibt es im UEFI einen Punkt Administer Secure Boot, KEK Zertifikat laden. Das KEK CA 2023 Zertifikat wäre da von vom Endanwender einzuspielen.
Oder das UEFI lässt sich in den Secure Boot Setup Mode (Endanwender darf die Zertifikate schreiben) schalten.
Im ersten Schritt ist die Bitlockerzustand zu prüfen, evtl der Wiederherstellungsschlüssel griffbereit zu halten.
[quote=Grobi847 post_id=459533 time=1782497188 user_id=51617]Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?[/quote]Das Datum bezieht sich auf neu zu zertifizierende Dateien.
Bestehende signierte KEK CA 2011 Dateien bleiben gültig, bestehende DB, DBX Dateien können von der Betriebssystemebene eingespielt werden.
Neue DB, DBX mit KEK CA 2011 signierte Dateien wird es nicht geben.
Ein SVN11 bootloader kann in der Zukunft mit neuer KEK CA 2011 DBX nicht gesperrt werden. Das ist heute kein Problem.
Ein aktiver DB CA 2011 ist ein anderes Thema. Da steht die Ankündigung der automatisierten Sperrung noch aus.
Bisher wird dazu eine 6 Monatige Vorwarnzeit genannt, wird wohl nicht mehr dieses Jahr automatisert gesperrt.
Manuell kann DB CA 2011 über die DBX geperrt werden, die daraus resultierenden Anpassungen (neue Bootmedien) sind dann vom Endanweder zu pflegen. Z.B. das Media Creation Tool ist noch nicht so weit.
Die DBX CA 2011 sperre ist aktuell mit KEK CA 2011 signiert.
Aktuell ist ein KEK CA 2011 sinnvoll. Eine Sperre ist nicht angedacht, es gibt keine Andeutung dazu.
2027/2028 oder später kann es eine Änderung geben.
[quote=Juxtopose post_id=460215 time=1783696673 user_id=52804]Mittlerweile hab ich fast resigniert und möchte einfach nur noch wissen, ob ICH was tun kann, außer (ab)warten ob/wann die Blockade gelöst wird.[/quote]Die Einträge werden auf UEFI Ebene gespeichert, nur das UEFI kann schreiben. Das Betriebssystem kann Anfragen an das UEFI stellen.
Das UEFI blockiert den Zugriff, eine Änderung ist vom Betriebssystem aus nicht möglich.
Es ist fraglich, ob es ein UEFI Update vom Laptophersteller geben wird.
Ein manueller Eingriff in das UEFI ist ein Ansatz, dazu gibt es verschiedene Wege je nach vorhandenem Rechner.
Da wäre eine Anleitung von Medion für den Laptop angebracht. Aus der Ferne ist das Rätselraten.
Möglicherweise gib es eine UEFI einen Punkt die Blockade zu lösen, dann werden Anfragen vom Betriebsystem verarbeitet.
Möglicherweise gibt es im UEFI einen Punkt Administer Secure Boot, KEK Zertifikat laden. Das KEK CA 2023 Zertifikat wäre da von vom Endanwender einzuspielen.
Oder das UEFI lässt sich in den Secure Boot Setup Mode (Endanwender darf die Zertifikate schreiben) schalten.
Im ersten Schritt ist die Bitlockerzustand zu prüfen, evtl der Wiederherstellungsschlüssel griffbereit zu halten.