Windows 11 Secure boot Zertifikat

[rene76]

Hallo zusammen,

ich habe heute gelesen das die Secure Boot Zertifikate ablaufen im Juni 2026. Nun habe ich im Bios nachgesehen und es sind noch die alten. es gibt auch noch kein aktuelles Bios für mein Aorus Z890 Pro Ice. Meine Windows 11 Version ist 25H2 (26200.8117)

Mein Frage:

Kommen diese Zertifikate mit einem späteren Windows Update oder muss ich auf ein Bios update warten?

Oder kann ich diese bei Microsoft runter laden und manuell installieren?

Danke

 

[BlubbsDE]

https://www.computerbase.de/news/be...-verteilt-neue-secure-boot-zertifikate.96103/

 

[Tom-S]

es gibt auch noch kein aktuelles Bios für mein Aorus Z890 Pro Ice.

Tatsächlich Bios F19 vom Februar 26 bereits installiert und das wurde nicht upgedatet?
Hab ein z690 Aorus-Master und da gab es das Bios-Update wegen der Secure-Boot Zertifikate bereits im Juni 2025.

 

[Opa Hermie]

Normalerweise wird das per Windows-Update aktualisiert, wenn es der Hersteller nicht mittels BIOS-Update macht.

https://github.com/cjee21/Check-UEFISecureBootVariables

Dort gibt es auch ein Script, mit dem man z.B. die z.Z. hinterlegten Zertifikate/Datenbanken auslesen kann, außerdem kann man auch ein Update erzwingen.

 

[rene76]

Tatsächlich Bios F19 vom Februar 26 bereits installiert und das wurde nicht upgedatet?
Hab ein z690 Aorus-Master und da gab es das Bios-Update wegen der Secure-Boot Zertifikate bereits im Juni 2025.

Das aktuelle Bios hab ich aber ich habe nach gesehen im Bios und da stehen noch die Zertifikate von 2011 drin

 

[Opa Hermie]

Das Script ausführen (Right-click "Check UEFI PK, KEK, DB and DBX.cmd" and Run as administrator) und die Ausgabe beachten.
Maßgeblich sind die "Current"-Einträge, die "Default" sind die, die als Werkseinstellungen nach einem Reset aktiv wären und somit unwichtig.

Falls das auf altem Stand ist, mal das Script zum updaten ausführen (Right-click "Apply 2023 KEK, DB and bootmgfw update.cmd" and Run as administrator). Nach einem Neustart sollte das aktuell sein.

 

[mibbio]

da stehen noch die Zertifikate von 2011 drin

Stehen da nur die 2011er Zertifikate drin oder zusätzlich zu den neuen Zertifikaten? Dass die alten trotzdem noch vorhanden sind, ist normal. Denn die sind ja aktuellen immer noch gültig und ohne diese könnte man nichts Booten, was noch gültig mit den 2011er Zertifikaten signiert ist.

 

[rene76]

Stehen da weiterhin nur die 2011er Zertifikate drin oder zusätzlich zu den neuen Zertifikaten? Dass die alten trotzdem noch vorhanden sind, ist ja normale. Denn ohne die könnte man ja nichts mehr Booten, was mit den (noch gültigen) 2011er Zertifikaten signiert ist.

Hier habe ich Bilder von meinem Bios gemacht

 

[Wo bin ich hier]

Da ist doch schon das neue Zeug:

 

[rene76]

Da ist doch schon das neue Zeug:
Anhang anzeigen 1720945
Anhang anzeigen 1720946

Ok, cool. Danke. Hab ich nicht gesehen. ^^

 

[SPB]

Was würde eigentlich passieren, wenn man nun den PC vom Internet trennt, das Datum auf den 31. Dezember 2026 vorstellt und einen Neustart macht?

 

[mibbio]

Dann würde genau gar nichts passieren und dein PC auch mit aktiviertem Secure Boot wie gewohnt booten. Denn die bisherigen Zertifikate im UEFI bleiben dann einfach weiterhin gültig und entsprechend auch damit signierter Bootcode.

Die neuen Zertifikate brauchst du effektiv nur für zwei Situationen im UEFI.

• die alten Zertifikate landen irgendwann auf der DBX im UEFI (Liste der gesperrten/ungültigen Zertifikate)
• du willst etwas Booten, was mit den neuen Zertifikaten signiert ist

Bei einem Offline-PC wird aber logischerweise auch die DBX nie aktualisiert und damit werden dort auch nie die alten Zertifikate eingetragen. Kann höchsten sein, dass Microsoft irgendwann den Bootloader von WIndows aktualisiert und der dann mit den neuen Zertifikaten signiert ist. Aber da der PC ja nicht online ist, kann Windows auch den Bootloader nicht aktualisieren.