Secureboot schon CA 2023 vorhanden?

[wagga]

Guten Tag, auf Basis meines Problems mit dem PC und Laptop würde mich interessieren ob bei euch inzwischen die
Secureboot Zertifikate KEK 2023 CA 2023 und andere schon installiert wurden.
Es geht u.a. um folgende Zertifikate. KEK soll besonders bei Dualboot mit Linux wichtig sein! Ablauf dieser 24.06.2026 bzw. teilweise 19.Oktober 2026! CA 2011 soll angeblich vor allem für Linux, MacOS und andere kritisch sein.
Gültig sein sollen die Zertifikate übrigens bis 2038! Wahrscheinlich wieder Juni/Oktober konnte dazu aber nichts finden!

• KEK: Schlüsselregistrierungsschlüssel
• CA: Zertifizierungsstelle
• DB: Signaturdatenbank für sicheren Start
• DBX: Datenbank für widerrufene Signaturen für den sicheren Start

Sicherer Start definiert vertrauenswürdigen Code über eine Firmwarerichtlinie, die während der Fertigung festgelegt wurde. Änderungen an dieser Richtlinie, z. B. das Hinzufügen oder Widerrufen von Zertifikaten, werden durch eine Hierarchie von Schlüsseln gesteuert. Diese Hierarchie beginnt mit dem Plattformschlüssel (PK), der sich in der Regel im Besitz des Hardwareherstellers befindet, gefolgt vom Schlüsselregistrierungsschlüssel (Key Enrollment Key, KEK) (auch als Schlüsselaustauschschlüssel bezeichnet), der ein Microsoft KEK und andere OEM-KEKs enthalten kann. Die Zulässige Signaturdatenbank (Allowed Signature Database, DB) und die Datenbank für unzulässige Signaturen (DBX) bestimmen, welcher Code in der UEFI-Umgebung ausgeführt werden kann, bevor das Betriebssystem gestartet wird. Die Datenbank enthält Zertifikate, die von Microsoft und dem OEM verwaltet werden, während dbX von Microsoft mit den neuesten Sperrungen aktualisiert wird. Jede Entität mit einem KEK kann die Datenbank und DBX aktualisieren

Spoiler: Zertifikatsarten

Schlüsselaustauschschlüssel-ZS 2011 der Microsoft Corporation	24. Juni 2026	Microsoft Corporation KEK 2K CA 2023	Im KEK gespeichert	Signiert Updates für DB und DBX.
Microsoft Windows Production PCA 2011	Dienstag, 19. Oktober 2026	Windows UEFI CA 2023	In datenbank gespeichert	Wird zum Signieren des Windows-Startladeprogramms verwendet.
Microsoft UEFI CA 2011*	27. Juni 2026	Microsoft UEFI CA 2023	In datenbank gespeichert	Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen.
Microsoft UEFI CA 2011*	27. Juni 2026	Microsoft Option ROM UEFI CA 2023	In datenbank gespeichert	Signiert Options-ROMs von Drittanbietern

https://support.microsoft.com/de-de...gsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

Weitere Infos dazu:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Testen kann man das u.a. darüber:
https://www.deskmodder.de/blog/2026...r-windows-uefi-ca-2023-mit-einem-tool-testen/

Liebe Grüße.

 

[aluis]

Checken mit:

Confirm-SecureBootUEFI
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023')
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023')

(das erste Cert ist Secureboot für Windows,
das zweite für Linux etc.
das dritte das KEK)

Falls irgendwas auf false ist, aktivieren mit:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Bios sollte jedoch aktuell sein.

 

[wagga]

@aluis danke für die Ergänzung.
Es muss nicht das aktuellste BIOS sein, aber ein BIOS von 2025 oder neuer könnte erforderlich sein.
Ich ergänze hier noch die Antwort von Acer per E-Mail.

Spoiler: Acer Laptops

Vielen Dank für Ihre Kontaktaufnahme.

Bei der Beantwortung Ihrer Fragen sind wir Ihnen gern behilflich.

Folgende Modelle werden mit dem neuen BIOS für die Zertifikat-Umstellung beliefert: https://community.acer.com/de/kb/ar...ifikate-im-juni-2026-um-geschuetzt-zu-bleiben

Sie finden Ihr Notebook unter der Bezeichnung "Aspire A517-53 ".

Der Eintrag 02/07/2026 bedeutet das die Bereitstellung am 02.07.26. erfolgt.

Die Installation erfolgt automatisch über Windows Update.

Auch ohne dieses Update, also noch mit den alten Zertifikaten bleibt Ihr Notebook auch über den Umschalttermin (27.06.26) hinaus zunächst vollumfänglich Boot- und Funktionsfähig.

Sollten Sie hierzu noch Fragen haben, Herr wagga, so können Sie uns gerne auf diese E-Mail antworten.

Liebe Grüße.

 

[Engaged]

Hier neuste win 11 auf einem nuc und einem thinkpad, bei mir steht dass ich nichts unternehmen muss, scheint wohl alles up to date zu sein.

 

[wagga]

@Engaged Danke stimmt habe ich glatt vergessen man kann bei Windows Sicherheit nachprüfen.
Wenn dort folgendes steht ist auch alles in Ordnung. Im Startmenü nach Gerätesicherheit suchen!

Dort steht dann im besten Fall!

 

[Aduasen]

Entschuldige, ich habe keine Ahnung, da ich Windows 11 schon seit 2021 (also seit Erscheinen) auf meinem Rechner habe.
Also wird es wahrscheinlich Punkt A sein.

 

[ABC]

Merkwürdig:
Sioni Secure Boot Zertifikat-Prüfer 2.8 meldet folgendes:
Windows 11 haken
Secure Boot: nicht aktiviert
Neue Zertifikate: Unklar
Empfehlung: Keine Aktion

Jetzt weiss ich Bescheid!

Kein Ahnung was das Tool mir sagen will. Aktuelle BIOS ist eingespielt.

 

[inge70]

@ABC
es zeigt Dir auf, dass bei Dir "Secure-boot" nicht aktiv ist und damit eine Zertifikatsprüfung nicht durchführbar ist.
Eine Aktion aber nicht erforderlich ist, da scheinbar Secure-Boot nicht gewollt ist oder unterstützt wird.

 

[ABC]

Ja, Secure-Boot ist nicht gewollt.
Bin nur noch temporär unter Windows unterwegs. Entspannter ist das arbeiten unter Linux. Da läuft es einfach runder (rein subjektiver Eindruck).

Muss noch einige Windows-Only-Programme noch unter Wine zum laufen bringen. Alternativ könnte ich dafür noch eine Windows-VM einrichten.

Es wird Zeit das ich von diesem Stoff wegkomme.

 

[Engaged]

@Engaged Danke stimmt habe ich glatt vergessen man kann bei Windows Sicherheit nachprüfen.

Jo habe da auch mal aus Neugier vor ein paar Tagen nachgeschaut, hat sich quasi alles selbst aktualisiert. 😁

 

[HITCHER_I]

Habe auf einem älteren Rechner die neuen Zertifikate installiert, seitdem gibt es beim POST einen schweren Sicherheitsfehler, und der Rechner schaltet sich ab.
Das liegt daran, dass das BIOS selbst zu alt ist, und mit den neuen Zertifikaten nicht kompatibel ist.
Ist aber egal, denn die alten Zertifikate laufen sowieso demnächst ab.

 

[wagga]

@HITCHER_I Würde evtl. Secureboot Recovery helfen? Und das Problem lösen?
C:\Windows\EFI\Securebootrecovery.efi FAT 32 USB Stick umbennen in Bootx64.efi
!?

 

[HITCHER_I]

Nein, eben nicht.

 

[Capet]

Ja, wurde unter Linux (kein Dualboot) aktualisiert. Secureboot ist deaktiviert.

 

[wagga]

@Capet Da möchte ich bis Oktober/November waren und wenn das durch ist spätestens im Dezember dann für Linux Secureboot erstmal wieder deaktivieren. Habe es nur fürs Update aktiviert sonst wäre es aus geblieben.

 

[be_myself]

Habe das an meinem PC mal getestet, Board ist das ASUS TUF Gaming B550-PRO. Keine Ahnung was mir die Empfehlung rechts außen damit sagen will. BIOS ist das neueste drauf (3636 vom 4.1.2026) und alles ist korrekt eingestellt.

 

[aluis]

@be_myself 4 mal True, sauber!

 

[be_myself]

@aluis werde heut spät abends, meine beiden HP Laptops mal darauf testen. Mache mir da aber wenig Hoffnung.

 

[purzelbär]

Mein PC gecheckt mit Securebootchecker 2.8:
Aus einem anderen Forum weiß ich, das alles okay ist und kein Handlungsbedarf besteht.

 

[wagga]

Habe das an meinem PC mal getestet, Board ist das ASUS TUF Gaming B550-PRO. Keine Ahnung was mir die Empfehlung rechts außen damit sagen will. BIOS ist das neueste drauf (3636 vom 4.1.2026) und alles ist korrekt eingestellt.

Das du Bitlocker deaktivieren sollst oder dir den Wiederherstellungschlüssel für den Fall der Fälle ausdrucken oder sichern sollst. Findet man bei Bitlocker. Das verstehe ich darunter.

Ergänzung (Montag um 15:53)

Hier noch ein Video was die Zertifikate erklärt. Der andere Inhalt konnte ich nicht plausibel auf Richtigkeit prüfen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Ergänzung (Montag um 15:54)

Mein PC gecheckt mit Securebootchecker 2.8:
Aus einem anderen Forum weiß ich, das alles okay ist und kein Handlungsbedarf besteht.

Anhang anzeigen 1738935

Es geht wahrschein vor allem um diese Zeile.