ComputerBase Menü
Aktuelles

News Patchday für Windows 11: Microsoft verteilt neue Secure-Boot-Zertifikate

Andy

Andy

Tagträumer
Teammitglied
Registriert
Mai 2003
Beiträge
8.276
Am gestrigen zweiten Dienstag im Februar stand der reguläre Patchday für Windows 11 und Windows 10 an. Neben kleineren Neuerungen und Fehlerkorrekturen hat Microsoft zu diesem Anlass mit dem Austausch der Secure-Boot-Zertifikate begonnen, die ansonsten im Juni 2026 auslaufen würden.

Zur News: Patchday für Windows 11: Microsoft verteilt neue Secure-Boot-Zertifikate
 
  • Gefällt mir
Reaktionen: Lonex88, coxon, knoxxi und eine weitere Person
"Stabilitätsprobleme mit einigen GPU-Konfigurationen" klingt irgendwie ziemlich relevant für Windows 10 Nutzer. Wer noch kein ESU hat, sollte das jetzt spätestens nachholen.
 
  • Gefällt mir
Reaktionen: Schmarall
Solange Secure-Boot per Default Betriebssysteme mit Lücken bootet und M$ root-kits (vulgo Anti-Cheat) per Default zulässt bringt das keinen Nutzen.
 
  • Gefällt mir
Reaktionen: zhompster, h2f, Schmarall und 4 andere
Was bedeutet es denn, wenn die Secure-Boot Zertifikate auslaufen? Lässt sich Windows dann nicht mehr starten, oder "nur" nicht mehr installieren?
 
  • Gefällt mir
Reaktionen: Kadett_Pirx, Schmarall, mdPlusPlus und eine weitere Person
Und schon einer neuen Bug gefunden? :mussweg: 😉

Ich denke, ich warte mal ein paar Tage bis Sonntagabend. Will mir ja nicht das Wochenende versauen, sondern endlich Level 40 in Escape from Tarkov erreichen! 😇
 
  • Gefällt mir
Reaktionen: Schmarall, Fliz und Mr.Zweig
Microsoft zu diesem Anlass mit dem Austausch der Secure-Boot-Zertifikate begonnen, die ansonsten im Juni 2026 auslaufen würden
Zum Vergrößern anklicken....

Das alte Zertifikat ist von 2011 und MS wusste das das 2026 abläuft.
Und die fangen erst jetzt, so kurz vor Ladenschluss, damit an diese zu tauschen anstatt vor zb. 5 Jahren.

Aber so unprofessionell wie MS heutzutage auftritt wundert einen das gar nicht!
 
  • Gefällt mir
Reaktionen: zhompster, Kadett_Pirx, LakeMac und 5 andere
silentdragon95 schrieb:
Was bedeutet es denn, wenn die Secure-Boot Zertifikate auslaufen? Lässt sich Windows dann nicht mehr starten, oder "nur" nicht mehr installieren?
Zum Vergrößern anklicken....
Wenn die alten Secure-Boot-Zertifikate auslaufen und dein PC die neuen Zertifikate nicht per Update erhalten hat, startet dein aktuelles Windows ganz normal weiter und normale Updates kommen weiterhin. Allerdings bekommst du keine neuen Boot-Sicherheits-Patches mehr, wodurch das System langfristig unsicherer wird. Zukünftige Windows-Versionen oder große Upgrades könnten irgendwann nicht mehr installierbar sein.
 
  • Gefällt mir
Reaktionen: zhompster, Lonex88, Zagrthos und 3 andere
  • Gefällt mir
Reaktionen: areiland, ByteBlur und Darklordx
Sandman2000 schrieb:
Wenn die alten Secure-Boot-Zertifikate auslaufen und dein PC die neuen Zertifikate nicht per Update erhalten hat, startet dein aktuelles Windows ganz normal weiter und normale Updates kommen weiterhin. Allerdings bekommst du keine neuen Boot-Sicherheits-Patches mehr, wodurch das System langfristig unsicherer wird. Zukünftige Windows-Versionen oder große Upgrades könnten irgendwann nicht mehr installierbar sein.
Zum Vergrößern anklicken....
Nun, diese Aussage ist so nicht ganz richtig. In der Anfangszeit wird der Boot-Loader von Windows mit dem alten UND neuen Key signiert werden, aber Microsoft wird dennoch wie angekündigt die Signierung dann nur noch auf den neuen KEK ausstellen. Und spätestens dann ist mit aktiviertem Sceure-Boot der Start von Windows nicht mehr möglich. Allerdings hilft dann immernoch die deaktivierung von Secure-Boot im Bios.

Und zu Secure-Boot, das schützt wenn dann nur von Angriffen von Nichtstaatlichen Akteueren, es ist aber davon auszugehen, dass die von Staatlichen Stellen, zumindest von den Wirtschaftsstarken Ländern, deren manipukierter Boot-Loader von MS signiert werden wird und dadurch eben Secure-Boot keinen Schutz vor solchen Angriffen bietet.
 
  • Gefällt mir
Reaktionen: Slim.Shady, the_IT_Guy, Kadett_Pirx und 2 andere
silentdragon95 schrieb:
Was bedeutet es denn, wenn die Secure-Boot Zertifikate auslaufen? Lässt sich Windows dann nicht mehr starten, oder nur nicht mehr installieren?
Zum Vergrößern anklicken....
Ich schließe mich der Frage mal an. Sollen nicht auch die Zertifikate in älteren BIOS Versionen auslaufen?
Lässt sich Windows dann nicht mehr starten, oder "nur" nicht mehr installieren?
 
  • Gefällt mir
Reaktionen: Neo1179
Was passiert auf einem 6 Jahre alten Rechner mit MSI Mainboard, der nur offline mit Windows 11 betrieben wird. Ich spiele die MSU Updates manuell ein. Da es für das Board keine UEFI Updates mehr gibt, sollte ich die Zertifikatupdates manuell einspielen, oder muss ich Angst haben das der Rechner dann im Sommer nicht mehr startet?
 
leipziger1979 schrieb:
Und die fangen erst jetzt, so kurz vor Ladenschluss, damit an diese zu tauschen anstatt vor zb. 5 Jahren.

Aber so unprofessionell wie MS heutzutage auftritt wundert einen das gar nicht!
Zum Vergrößern anklicken....
Blablah.....
1770805613850.png


Der problematische Teil findet im UEFI statt und man musste noch auf Linux Installationen Rücksicht nehmen, die zumindest früher auf diese Microsoft Zertifikate gesetzt hatten.

1770808712144.png

https://learn.microsoft.com/en-us/w...windows-11#14-signature-databases-db-and-dbx#

So einfach wie man sich das vorstellt, tauscht einfach die Zertifikate aus und Millionen Firmen-PCs starten nicht mehr, ist es eben doch nicht.
 
Zuletzt bearbeitet:
Darklordx schrieb:
Und schon einer neuen Bug gefunden? :mussweg: 😉
Zum Vergrößern anklicken....
Aha, deshalb braucht mein Win 11 plötzlich 2 min zum booten. Hatte mir gestern ein Backup zurück gespielt, da lief der PC wieder einwandfrei. Dann kam wohl wieder das Update rein und heute wieder diesselbe Schei**e. :utbiorifle:
 
silentdragon95 schrieb:
Was bedeutet es denn, wenn die Secure-Boot Zertifikate auslaufen?
Zum Vergrößern anklicken....
Alle Anwendungen die Secure Boot brauchen schlagen dann fehl. Also z.b AntiCheat, Bitlocker, Office365 Programme, usw
 
silentdragon95 schrieb:
Was bedeutet es denn, wenn die Secure-Boot Zertifikate auslaufen? Lässt sich Windows dann nicht mehr starten, oder "nur" nicht mehr installieren?
Zum Vergrößern anklicken....
Windows startet trotzdem, falls du probleme haben solltest, kurz Secureboot ausschalten und dann schauen ob man es nicht doch lieber von Hand updaten sollte. Was ich schon bei ca 20 Rechner gemacht habe. Auf MS wollte ich mich dann doch nicht verlassen. Vielleicht solltest du mal bei deinen Hersteller vorbeischauen, vielleicht gibt es ja noch ein BiosUpdate das dir gleich die neuen Zertifikate installiert. Ansonsten kannst du das alles auch per Powershell anschubsen bzw auch den UpdateStand abfragen/überprüfen. Vielleicht gibt es ja hier einen auf CB oder CB selber die eine Anleitung erstellen könnten. Ist mit ein paar Handgriffen auch erledigt. Aber wie gesagt, hat ja auch noch etwas Zeit,

das MS Corp UEFI CA läuft erst am 27.6 ab
Win Produktion am19.10 und das KEK am 24.6 ...

die 2023 laufen 13.6.35 ab...
 
Zuletzt bearbeitet:
Simanova schrieb:
Alle Anwendungen die Secure Boot brauchen schlagen dann fehl. Also z.b AntiCheat, Bitlocker, Office365 Programme, usw
Zum Vergrößern anklicken....
Das ist mWn. nicht korrekt.

Wenn eine CA (Certificate Authority) ausläuft kannst du idR. keine neue damit signierte Software mehr verteilen, sprich: Neue signierte Software (Updates) müssen die neue CA nutzen. Wenn du die Stammzertifikate der neuen CA jedoch nicht hast, sind die neuen Signaturen aus deiner Sicht ungültig. Du kannst effektiv keine Updates der betroffenen Software installieren, da eine Signatur erforderlich ist welche du jedoch nicht verifizieren kannst.

Wenn das so wäre wie du beschreibst, müsste jedes mal wenn irgendwo eine CA ausläuft sämtliche alte Software (die damit signiert wurde) neu signiert und neu verteilt werden. Womit du effektiv Software von vor 10 Jahren nicht mehr installieren oder nutzen könntest.

Es hängt aber von der konkreten Implementierung ab. Üblicherweise invalidiert man bei digitalen Signaturen aber nicht nach Ablauf des Zertifikats den Inhalt.
 
Zuletzt bearbeitet:
feris schrieb:
Ich schließe mich der Frage mal an. Sollen nicht auch die Zertifikate in älteren BIOS Versionen auslaufen?
Lässt sich Windows dann nicht mehr starten, oder "nur" nicht mehr installieren?
Zum Vergrößern anklicken....
Es läuft überall aus. Windows lässt sich zwar noch starten, aber sehr eingeschränkt benutzen. Normale Windows Updates wirst du noch bekommen, aber keine Sicherheitsupdates mehr (Bootebene) etc... Vielleicht schränkt MS das später noch mehr ein.
 
@ramis Danke für die Info. Na ja, solange es noch startet, ist das den meisten Benutzern schnuppe, schätze ich. Wenn Microsoft wirklich was sicherer machen wollte, müssten sie den Start verweigern.
Das würde aber vermutlich zu millionenfachem Aufschrei führen. Würde ich als Firma auch nicht machen. Nach dem Windows 11 Imageschaden wäre es auch schlechtes Timing.
 
Ist wirklich beruhigend, dass die Meinungen hier von "du wirst nichts bemerken" bis zu "es wird fast gar nichts mehr gehen" gehen. Was anderes hab ich im Netz auf die Schnelle auch nicht finden können :D

Na dann werde ich es wohl einfach drauf ankommen lassen müssen und gucken, wie viele Anrufe es dann gibt weil "mein Windows/Office/XYZ geht plötzlich nicht mehr!". Man sollte meinen, dass Nutzer von Windows 11 wenigstens davor sicher wären, aber man vergisst dabei schnell, dass Windows 11 nicht gleich Windows 11 ist. Ich hab schon so viele Windows 11 Geräte gesehen, die aus nicht erkennbaren Gründen ein Upgrade auf eine neuere Version entweder nie angeboten oder sogar komplett verweigert haben, das Ganze ist eh ein Desaster waiting to hapen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News November-Patchday für Windows 11: Microsoft behebt Taskmanager-Fehler und verteilt Startmenü
2 3 4
Antworten
76
Aufrufe
8.045
The_Void
The_Void
SVΞN
News Windows 11: Microsoft verteilt das 2022-Update jetzt automatisch
2 3 4
Antworten
61
Aufrufe
8.906
Art Vandelay
Art Vandelay
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 171 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz