Win 11, Secure Boot, und die Zertifikatserneuerung in 2026

[tschesny]

Guten Tag,

vielleicht haben einige schon davon gehört, dass wie z.B. bei Borncity beschrieben im Jahr 2026 stückweise die aktuellen Zertifikate für die Verwendung von Secure Boot ausgerollt werden. Nun habe ich mich quer durch das Internet gelesen, werde aber nicht wirklich schlau daraus, was man als Privatanwender nun wirklich zu tun hat, da sich die meisten Anleitungen an Systemadministratoren richten, mit der zentralen Frage, wie man sich adäquat vorbereiten kann, damit das Unternehmen nicht von einem Tag auf den anderen lahm liegt.

Wir (Privathaushalt) nutzen unsere Rechner nur als Einzelplatz-PC, bei dem niemand außer uns Zugriff hat.

Bisher laufen ein Deskmini a300, ein Gigabyte B560 Aorus Pro AX, ein Gigabyte Z790 D AX sowie ein Surface Pro 7 komplett sorglos und problemfrei in den ersten drei Fällen noch ohne Secure Boot und im letzten Fall des Surface 7 mit Secure Boot. Selbstverständlich sind alle Systemdatenträger im GPT-Format, und alle UEFIS grundsätzlich Secure-Boot-fähig.

Nun frage ich mich als Privatanwender: Was "muss" ich denn nun genau tun?
So wie ich es verstanden habe, kann ich

a:

• Den umständlichen Weg gehen und Secure Boot auf den drei Desktop-PCs aktivieren,
• Mich wie z.B. hier Youtube beschrieben per Powershell schlau machen, ob Secure Boot aktiviert sowie das "Windows UEFI CA 2023" bereits aktiv ist.
• Sollte ich als Ausgabe "false" erhalten zusehen, dass ich von allen Geräten das UEFI aktualisiere
• Anderenfalls, wenn kein aktuelles UEFI vorhanden ist (wie bei meinem Deskmini a300) in die Röhre schauen weil das System nicht mehr startet

b:
- Secure Boot überall deaktiviert lassen und mir einfach keinen Kopf mehr machen, da ich bisher auch ohne Secure Boot in meiner Privatumgebung gut gefahren bin

c:
- Einfach abwarten und nichts tun, weil es auch sein könnte, dass beispielsweise das Surface 7 Pro (Secure Boot aktiv, aber "Windows UEFI CA 2023"--> false) ohne mein Zutun einfach von Microsoft mit dem versorgt wird, was es braucht? Kann es überhaupt sein, dass das Gerät dann ab Mitte 2026 einfach nicht mehr funktioniert (im Sinne von: Nicht mehr startet wenn Secure Boot aktiv ist) oder habe ich da einige Denkfehler?

Vielleicht kann mich ja der ein oder andere Wissende etwas erleuchten, da ich schon mehrere Knoten in meinem Kopf habe.

Viele Grüße

 

[YMiD]

In der Regel braucht man als Privatanwender nichts zu unternehmen, da die neue Zertifikate automatisch per Windows-Update verteilt werden.
Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle

 

[RonnyVillmar]

???

Was ein Geschiss!
"....Zertifikate für die Verwendung von Secure Boot..."

Am besten ich hol meinen 286er wieder raus.

 

[0x8100]

in die Röhre schauen weil das System nicht mehr startet

du verlinkst schon den artikel aber überliest

Mein erster Gedanke war, dass die Systeme beim Zertifikatsablauf Windows nicht mehr booten. Allerdings tritt dieses Szenario nicht auf, die Systeme starten Windows weiterhin, wenn Secure Boot aktiviert ist.

?

ansonsten kommen die neuen zertifikate per update, nicht nur unter windows:

$ fwupdmgr update
╔══════════════════════════════════════════════════════════════════════════════╗
║ Upgrade UEFI dbx from 20250507 to 20250902?                                  ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the list of forbidden signatures (the "dbx") to the latest      ║
║ release from Microsoft.                                                      ║
║                                                                              ║
║ Some insecure versions of the IGEL bootloader were added, due to a security  ║
║ vulnerability that allowed an attacker to bypass UEFI Secure Boot.           ║
║                                                                              ║
╚══════════════════════════════════════════════════════════════════════════════╝
Perform operation? [Y|n]:

(das ist ein weiteres cert-update, das mit den 2023er windows certs hatte einen anderen wortlaut)

 

[JumpingCat]

Nun frage ich mich als Privatanwender: Was "muss" ich denn nun genau tun?

Nichts. Du machst du schon sicherlich regelmäßig Windows Updates, BIOS Updates, Firmware Updates der SDD/NVMe, oder?

 

[tschesny]

Ja. Sogar sehr diszipliniert. Allerdings ist beispielsweise das letzte Bios vom Deskmini a300 aus dem Jahr 2021.

 

[kommdieter]

Ihr braucht euch darum nicht zu kümmern. Die Zertifikate wurden oder werden über Windows Update integriert und aktiviert.

 

[Lawnmower]

Das Problem ist wohl nicht das Zertifikat (weil das kommt, wie richtig geschrieben, einfach per Windows Update), sondern dass gewisse BIOS bzw UEFI Versionen nicht damit umgehen können.
Gabs mal in der C't vor einigen Monaten mehrere Artikel zu dem Thema wo das ausführlich beschrieben wurde.

Bei einigen HP Business Laptops wird z.B. seit einigen Wochen ein UEFI Update mit der Verbesserung/Fehlerbehebung "Windows UEFI CA 2023 certificate" verteilt.
Das gabe es vor 2 Jahren bereits auch einmal, aber da hat Microsoft wohl einen (erneuten) Rückzieher gemacht und das Zertifikat dann nicht verteilt.

 

[qiller]

Wer nicht warten will:
https://www.computerbase.de/forum/t...wird-verteilt-win-linux.2252079/post-30918219

 

[tschesny]

Würden die Zertifikate auch bei mir ankommen, wäre Secure Boot im UEFI deaktiviert aber mein Mainboard grundsätzlich Secure-Boot-fähig?

 

[tschesny]

@kommdieter

Gibt es dafür irgendwelche deadlines? Bei mir ist auf keinem einzigen PC bisher irgend etwas angekommen. Die Powershell-Überprüfung gibt mir immer "false" aus.

 

[tschesny]

Nabend noch einmal,

das Thema ist wirklich komplexer als ich dachte. Mittlerweile lichtet sich bei mir im Kopf ein wenig der Nebel. So wie ich es verstehe, werden über das Windows-Update nur die Zertifikate in die "Current UEFI DB" eingespielt. Sollte man ein CMOS-Reset machen, könnte es auf einigen Boards passieren, dass man den Prozess neu durchlaufen muss. Also Deaktivierung von SecureBoot, erneute Zertifikatsinstallation, danach wieder Reaktivierung. Mit sämtlichen Nervereien wie etwa Bitlocker-Code-Eingabe etc.

---> Für meine Fehlersuche nutze ich das Skript aus Github, zu finden unter "Check-UEFISecureBootVariables"

Mein UEFI für das b560 Aorus Pro AX (f14b) enthält beispielsweise bereits die Vorbereitung für die neuen Zertifikate. Bei den älteren Systemen sieht es etwas schlechter aus. Dort müsste ich bei einem CMOS-Reset möglicherweise in den sauren Apfel beißen den obengenannten Prozess zu durchlaufen.

So wie ich es verstehe, ist nun bei meinem b560 Aorus Pro AX alles drin, was reingehört. Sowohl in der Current- als auch in der Default-Abteilung.

Brauche ich die "Microsoft"-Optionen nicht, und soll da unten "none" stehen?

Könnte jemand der fachkundig ist, mal kurz in meinen Screenshot gucken, ob ich das so lassen kann?
Ich wäre dankbar.

LG

 

[qiller]

Bei mir siehts so aus:

 

[tschesny]

Hallo qiller,

danke für die Antwort, nur sieht es ja bei jedem unterschiedlich aus.

Könnte mir noch jemand weiterhelfen, ob ich denn nun die Einträge für "Microsoft UEFI CA 2023" und "Microsoft Option ROM UEFI CA 2023" benötige?