Secure Boot Zertifikate laufen ab - was ist zu beachten?

[chinchillah]

Hallo zusammen,

sorry vorab für den langen Text und die vielen Fragen, aber in den Medien liest man momentan sehr oft davon, dass die Zertifikate für Secure Boot ab Mitte 2026 auslaufen würden und so ganz ist mir nicht klar, was ich genau tun muss.

Zum einen ist die Rede davon, man bekommt die neuen Secure Boot Zertifikate über Windows Update automatisch, zum anderen heißt es die Mainboard Hersteller müssen entsprechend neue BIOS Updates bereitstellen.

Hier eine Übersicht meines Systems:

Mainboard: Asus Prime Z 790P die neuste verfügbare BIOS Version 1825 ist bereits installiert, genauso wie alle verfügbaren Updates über Asus Driver Hub

Windows 11 25h2 mit allen Updates

Grafikkarte: Gainward Phantom RTX 4080 GS

RAM: 2x32 GB Kingston

Alle installierten Programme sind ebenfalls aktuell und ich halte die genannten Komponenten / Programme auch auf dem aktuelle Stand

Auf der Asus Webseite habe ich dazu auch den folgenden Artikel gefunden:

https://www.asus.com/support/faq/1055903/

Aber auch aus diesem Artikel geht nicht ganz hervor, ob man die Anpassungen im BIOS machen muss, auch wenn man Windows Updates aktiv hat?

Daher die folgenden Fragen:

• wie bekommt man die neuen Secure Boot Zertifikate? Kommen diese per Windows Update und / oder BIOS Update? Muss ich tätig werden oder geschieht alles automatisch?
• falls ein BIOS Update erforderlich ist für die neuen Zertifikate, sind diese in meiner bereits installierten Version 1825 schon vorhanden oder kommt dafür noch ein neues BIOS Update vor dem Auslaufen der Zertifikate?
• Bisher habe ich im BIOS Secure Boot mit dem OS Type „Windows UEFI Mode“ und dem Secure Boot Mode „Standard“ aktiv. Diese Einstellung wurde mir von meinem PC Händler empfohlen. In dem oben verlinkten Asus Artikel ist eine sehr lange Anleitung, wie man die neuen Zertifikate wohl einspielt. Da ich mich mit sowas aber überhaupt nicht auskenne, würde ich davon lieber absehen. Muss man diese Anleitung tatsächlich durchführen oder werden sie irgendwie automatisch irgendwann aktiviert?
• Was passiert, wenn der Tausch der Zertifikate irgendwie nicht funktioniert und diese dann abgelaufen sind? Bootet das System dann gar nicht mehr und kann man dies dann durch das Deaktivieren vom Secure Boot im BIOS wieder zum Laufen bekommen?
• Es gibt auch Anleitungen im Internet, womit man die Zertifikate anscheinend über Windows auslesen kann / soll bzw. das Update auslösen mittels Powershell Befehlen? Ist das wirklich erforderlich oder passiert es normalerweise durch das automatische Windows Update?
• Es heist sich, man soll die „erforderlichen Diagnosedaten“ in Windows 11 aktiv lassen. Diese sind bei mir aktiviert. Werden aber auch die „optionalen Diagnosedaten“ zusätzlich benötigt und sollten aktiviert werden?
• Muss auch sowas wie Grafikkarte bzw. das Grafikkarten VBIOS aktualisiert werden? Allerdings liest man hier auch, dass dieses Update die Grafikkarte schrotten kann. Bei meiner handelt es sich um eine Gainward Phantom RTX 4080 GS.
• Was gibt es sonst noch zu beachten?

Dann ist es noch so, dass ich Notebooks im Einsatz habe, die aber schon 8 bis 10 Jahre alt sind mit aktiviertem Secure Boot und TPM. Windows 11 läuft auch noch darauf.

Falls tatsächlich ein BIOS Update wegen der neuen Secure Boot Zertifikate benötigt wird, sind diese dann auch schon in BIOS Updates von 2020 oder früher enthalten?

Falls nicht, kann ich die Geräte dann trotzdem weiter nutzen, indem ich ggfs. Secure Boot deaktiviere?

Oder sollte man so Sachen wie Online Banking, Internet Surfen und Office Tätigkeiten heutzutage nur auf Systemen machen mit aktiviertem Secure Boot.

Von der Performance sind die Notebooks nämlich noch ausreichend für den Zweck.

Es wäre nett, wenn ihr mir hier weiterhelfen könnt?

Vielen Dank im Voraus für die Hilfe.

 

[gaym0r]

Wenn der Asus Artikel dir nicht weiterhilft, dann weiß ich nicht, ob dir die Antworten hier weiterhelfen werden. Da sind doch kurz und knapp, ohne viel Geschwafel, zwei Möglichkeiten gelistet, um die Zertifikate zu aktualisieren.

 

[Methanatmer]

Hallo - auch wenn es vielleicht blöd anhört. Ich hatte GEMINI 3 mit den Daten meines PCs gefüttert, denn da wurden definitiv die Updates von Microsoft nicht in den Boot Sector geschrieben. Den Anleitungen bin ich gefolgt und musste im ASUS BIOS (Version von Ende 2025) die vorhandenen Security Keys löschen und dann anschließend konnte ich (ohne Neustart) die (neuen) Standard Keys einspielen und dann F10 und alles war o.k. und den Befehl zum Auslesen der Version über die Powershell liefert die KI auch mit.

 

[snakesh1t]

• Method I Via Windows Automatic Update
• Method II Manually Update UEFI BIOS

Wie einfacher möchtest du es denn noch vorgekauft bekommen? 😅

 

[gaym0r]

@Methanatmer
Warum dann nicht direkt die Befehle hier posten...?

In einer administrativen Powershell:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Hier muss "True" zurückgegeben werden, dann sind die neuen Zertifikate bereits installiert.

 

[Cheesy]

Nach dem mir seit November TPM-WMI Events (5 Minuten nach Neustart und alle 12 Stunden) folgendes zurückgegeben haben:

Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here..

hätte ich A auf ein neues Bios warten können oder B bis Windows Update das von alleine hinbekommt.

Habe mich dann für C entschieden und den Registryschlüssel geändert:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
AvailableUpdates 0x5944(hex)

Nach ein paar Neustarts waren die 2023er Zertifikate hinterlegt und UEFICA2023Status auf updated.

 

[Og.Pelle]

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Entweder per Windows Update oder per Bios-Update.

 

[chinchillah]

Wie erwähnt, möchte ich ungern selbst im BIOS die Keys austauschen, weil ich mich damit gar nicht auskenne. Das ist mir selbst mit einer Anleitung etwas riskant.

Daher war ja auch die Frage, ob man aus dem verlinkten ASUS-Artikel beide Varianten ausführen muss, um die neuen Zertifikate zu erhalten oder ob es ausreicht, einfach regelmäßig Windows Updates zu machen?
Wie auch erwähnt, liest man im Internet sehr viele unterschiedliche Infos dazu. Es heißt teilweise man bräuchte auch ein passendes BIOS-Update.
ChatGPT habe ich dazu auch schon befragt, da kam dann als Antwort, es reicht Windows zu updaten.

Die Infos sind dann für mich schon etwas verwirrend, daher die Fragen.

 

[arvan]

Oder sollte man so Sachen wie Online Banking, Internet Surfen und Office Tätigkeiten heutzutage nur auf Systemen machen mit aktiviertem Secure Boot.

Nein. Einfach Secure Boot ausschalten und gut ist.

Das macht dein System nicht unsicherer.

Ist verhindert lediglich das starten von nicht signierten Bootloadern. Also einige Linux-Distributionen, einige unterstützen es (wie Ubuntu).

 

[Helge01]

Einfach Secure Boot ausschalten und gut ist.

So einfach ist das nicht da mache Spiele wie z.B. Battlefield Secure Boot für Anti-Cheat benötigen.

 

[gaym0r]

Daher war ja auch die Frage, ob man aus dem verlinkten ASUS-Artikel beide Varianten ausführen muss, um die neuen Zertifikate zu erhalten oder ob es ausreicht, einfach regelmäßig Windows Updates zu machen?

Entweder oder. Du kannst mich dem o.g. Kommando prüfen ob du die neuen Zertfikate schon hast.

 

[n1tro666]

Wie einfacher möchtest du es denn noch vorgekauft bekommen

so einfach, wie es vielleicht für dich ist, ist es möglicherweise für andere nicht.

es dort steht ja nicht im detail, auf welche art und weise ein 'uefi bios update'
durchgeführt werden soll.

soll man das ganze bios updaten? sind dort die jeweils aktuellen certs enthalten?

soll man im bios selbst, im secure boot menü über custom keys sich die certs selber installieren?
wenn ja wo ist der downloadlink?

soll man einfach windows update machen lassen?

was mache ich mit mein board / cpu von 2018 welche w11 fähig sind , wo aber kein uefi update gibts?

fragen über fragen..

also ich finde es nicht durchsichtig.

 

[gaym0r]

es dort steht ja nicht im detail, auf welche art und weise ein 'uefi bios update'
durchgeführt werden soll.

soll man das ganze bios updaten? sind dort die jeweils aktuellen certs enthalten?

soll man im bios selbst, im secure boot menü über custom keys sich die certs selber installieren?
wenn ja wo ist der downloadlink?

Wie sehr sollen sie denn noch "ins Detail" gehen? Wieso weiß man nach dem Text nicht ob man das ganze UEFI updaten soll, wie du schreibst?

soll man einfach windows update machen lassen?

Kann man auch, so steht es auch im Artikel?

 

[arvan]

So einfach ist das nicht da mache Spiele wie z.B. Battlefield Secure Boot für Anti-Cheat benötigen.

Verstehe ich nicht ganz, sein aktueller Rechner mit aktueller Plattform wird da auch keine Probleme bekommen mit dem evtl. erforderlichen Zertifikat Updates. UEFI aktuell ist völlig ausreichend, und auch das hat mit dem VBIOS der GPU nichts zutun, wie er schreibt.

Es ging aber auch um seine alten Office-Notebooks - die wird er kaum für BF6 benutzen.

Wird das Thema hier nicht etwas zu heiß gekocht oder übersehe ich was?

 

[gaym0r]

@arvan Dein Kommentar las sich so als bräuchte man Secure Boot nicht und es wäre nur dafür da um zu verhindern, dass nicht-signierte Bootloader funktionieren. Das stimmt nicht und er hat es korrigiert.

 

[chinchillah]

D.h. kurz zusammengefasst:
Es reicht, wenn man die automatischen Windows Updates macht und das System mit BIOS-Updates auf dem Laufenden hält, dass man sich das manuelle Updaten der Secure Boot Keys wie im ASUS-Artikel sparen kann, da dies durch Windows Update passiert, richtig?
Und ja, am PC benötige ich Secure Boot wegen BF6 und anderen Spielen, aber an den Notebooks theoretisch nicht. Diese werden rein für Office/Streaming/Surfen/Online Banking genutzt.

Aber ist es nun so, dass das BIOS auch aktuell sein muss, um die Zertifikate zu kennen? Gerade bei den Notebooks ist das jüngste verfügbare BIOS-Update von 2018-2020. Darin sind die neuen Zertifikate vermutlich nicht vorhanden, falls das überhaupt erforderlich ist?

 

[gaym0r]

@chinchillah
Du hast die Antwort auf die Frage mehrfach hier in diesem thread und auch direkt die Info wie du es prüfen kannst. Liest du überhaupt was wir schreiben?

 

[chinchillah]

Danke für die Rückmeldungen und vor allem das Youtube Video. Das hat sehr geholfen beim Verständnis. Ich hatte auch schon paar Videos angeschaut, aber keins war so gut erklärt.