Win 11, Secure Boot, und die Zertifikatserneuerung in 2026

[tschesny]

Guten Tag,

vielleicht haben einige schon davon gehört, dass wie z.B. bei Borncity beschrieben im Jahr 2026 stückweise die aktuellen Zertifikate für die Verwendung von Secure Boot ausgerollt werden. Nun habe ich mich quer durch das Internet gelesen, werde aber nicht wirklich schlau daraus, was man als Privatanwender nun wirklich zu tun hat, da sich die meisten Anleitungen an Systemadministratoren richten, mit der zentralen Frage, wie man sich adäquat vorbereiten kann, damit das Unternehmen nicht von einem Tag auf den anderen lahm liegt.

Wir (Privathaushalt) nutzen unsere Rechner nur als Einzelplatz-PC, bei dem niemand außer uns Zugriff hat.

Bisher laufen ein Deskmini a300, ein Gigabyte B560 Aorus Pro AX, ein Gigabyte Z790 D AX sowie ein Surface Pro 7 komplett sorglos und problemfrei in den ersten drei Fällen noch ohne Secure Boot und im letzten Fall des Surface 7 mit Secure Boot. Selbstverständlich sind alle Systemdatenträger im GPT-Format, und alle UEFIS grundsätzlich Secure-Boot-fähig.

Nun frage ich mich als Privatanwender: Was "muss" ich denn nun genau tun?
So wie ich es verstanden habe, kann ich

a:

• Den umständlichen Weg gehen und Secure Boot auf den drei Desktop-PCs aktivieren,
• Mich wie z.B. hier Youtube beschrieben per Powershell schlau machen, ob Secure Boot aktiviert sowie das "Windows UEFI CA 2023" bereits aktiv ist.
• Sollte ich als Ausgabe "false" erhalten zusehen, dass ich von allen Geräten das UEFI aktualisiere
• Anderenfalls, wenn kein aktuelles UEFI vorhanden ist (wie bei meinem Deskmini a300) in die Röhre schauen weil das System nicht mehr startet

b:
- Secure Boot überall deaktiviert lassen und mir einfach keinen Kopf mehr machen, da ich bisher auch ohne Secure Boot in meiner Privatumgebung gut gefahren bin

c:
- Einfach abwarten und nichts tun, weil es auch sein könnte, dass beispielsweise das Surface 7 Pro (Secure Boot aktiv, aber "Windows UEFI CA 2023"--> false) ohne mein Zutun einfach von Microsoft mit dem versorgt wird, was es braucht? Kann es überhaupt sein, dass das Gerät dann ab Mitte 2026 einfach nicht mehr funktioniert (im Sinne von: Nicht mehr startet wenn Secure Boot aktiv ist) oder habe ich da einige Denkfehler?

Vielleicht kann mich ja der ein oder andere Wissende etwas erleuchten, da ich schon mehrere Knoten in meinem Kopf habe.

Viele Grüße

 

[YMiD]

In der Regel braucht man als Privatanwender nichts zu unternehmen, da die neue Zertifikate automatisch per Windows-Update verteilt werden.
Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle

 

[RonnyVillmar]

???

Was ein Geschiss!
"....Zertifikate für die Verwendung von Secure Boot..."

Am besten ich hol meinen 286er wieder raus.

 

[0x8100]

in die Röhre schauen weil das System nicht mehr startet

du verlinkst schon den artikel aber überliest

Mein erster Gedanke war, dass die Systeme beim Zertifikatsablauf Windows nicht mehr booten. Allerdings tritt dieses Szenario nicht auf, die Systeme starten Windows weiterhin, wenn Secure Boot aktiviert ist.

?

ansonsten kommen die neuen zertifikate per update, nicht nur unter windows:

$ fwupdmgr update
╔══════════════════════════════════════════════════════════════════════════════╗
║ Upgrade UEFI dbx from 20250507 to 20250902?                                  ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the list of forbidden signatures (the "dbx") to the latest      ║
║ release from Microsoft.                                                      ║
║                                                                              ║
║ Some insecure versions of the IGEL bootloader were added, due to a security  ║
║ vulnerability that allowed an attacker to bypass UEFI Secure Boot.           ║
║                                                                              ║
╚══════════════════════════════════════════════════════════════════════════════╝
Perform operation? [Y|n]:

(das ist ein weiteres cert-update, das mit den 2023er windows certs hatte einen anderen wortlaut)

 

[JumpingCat]

Nun frage ich mich als Privatanwender: Was "muss" ich denn nun genau tun?

Nichts. Du machst du schon sicherlich regelmäßig Windows Updates, BIOS Updates, Firmware Updates der SDD/NVMe, oder?

 

[tschesny]

Ja. Sogar sehr diszipliniert. Allerdings ist beispielsweise das letzte Bios vom Deskmini a300 aus dem Jahr 2021.

 

[kommdieter]

Ihr braucht euch darum nicht zu kümmern. Die Zertifikate wurden oder werden über Windows Update integriert und aktiviert.

 

[Lawnmower]

Das Problem ist wohl nicht das Zertifikat (weil das kommt, wie richtig geschrieben, einfach per Windows Update), sondern dass gewisse BIOS bzw UEFI Versionen nicht damit umgehen können.
Gabs mal in der C't vor einigen Monaten mehrere Artikel zu dem Thema wo das ausführlich beschrieben wurde.

Bei einigen HP Business Laptops wird z.B. seit einigen Wochen ein UEFI Update mit der Verbesserung/Fehlerbehebung "Windows UEFI CA 2023 certificate" verteilt.
Das gabe es vor 2 Jahren bereits auch einmal, aber da hat Microsoft wohl einen (erneuten) Rückzieher gemacht und das Zertifikat dann nicht verteilt.

 

[qiller]

Wer nicht warten will:
https://www.computerbase.de/forum/t...wird-verteilt-win-linux.2252079/post-30918219

 

[tschesny]

Würden die Zertifikate auch bei mir ankommen, wäre Secure Boot im UEFI deaktiviert aber mein Mainboard grundsätzlich Secure-Boot-fähig?

 

[tschesny]

@kommdieter

Gibt es dafür irgendwelche deadlines? Bei mir ist auf keinem einzigen PC bisher irgend etwas angekommen. Die Powershell-Überprüfung gibt mir immer "false" aus.