Microsoft gab bekannt, dass die ursprünglichen Secure Boot-Zertifikate, die 2011 ausgestellt wurden, im Juni 2026 ablaufen. Die Sicherheitsfunktion Esse überprüft die Integrität der Software beim Computerstart und verhindert die Ausführung nicht vertrauenswürdigen Codes. Dispositivos, die die neuen 2023-Zertifikate nicht vor Ablauf der Frist erhalten, booten weiterhin und funktionieren normal, verlieren jedoch die Möglichkeit, zukünftige Updates für den ersten Startvorgang zu erhalten.
Secure Boot ist auf praktisch allen seit 2011 hergestellten PCs vorhanden, auf denen Windows 10 oder 11 vorinstalliert ist. Ele fungiert als Vertrauensmechanismus basierend auf digitalen Zertifikaten, die in der UEFI-Firmware gespeichert sind. Der Ablauf betrifft vor allem die Zertifikate Microsoft Corporation KEK CA 2011 und Microsoft UEFI CA 2011 im Juni, das Microsoft Windows Production PCA 2011 folgt im Oktober 2026.
Was passiert, wenn alte Zertifikate ablaufen?
Betroffene Computer behalten die Grundfunktionalität ohne unmittelbare Unterbrechungen bei. Atualizações wird standardmäßig von Windows weiterhin normal installiert. Spezifische Schutzmaßnahmen gegen Bedrohungen in der ersten Startphase werden jedoch nicht mehr aktualisiert.
Dazu gehören Korrekturen für Schwachstellen in der Boot-Kette und Aktualisierungen der autorisierten und widerrufenen Signaturlisten. Microsoft beschreibt den Prozess als einen der größten koordinierten Sicherheitswartungsvorgänge im Windows-Ökosystem.
Aktualisierungen von Microsoft und Herstellern sind bereits im Gange
Das Unternehmen hat mit der Verteilung der neuen 2023-Zertifikate über monatliche Windows-Updates begonnen. Dispositivos mit unterstütztem Windows erhalten diese Änderungen in vielen Fällen automatisch. Fabricantes-Hardwarehersteller (OEMs) veröffentlichen zusätzliche Firmware-Updates, um vollständige Kompatibilität sicherzustellen.
Bei PCs ab Baujahr 2024 sind die aktualisierten Zertifikate in der Regel bereits in der Firmware enthalten. Bei älteren Modellen Para löst die Kombination von Windows und Hersteller-Updates das Problem in den meisten Situationen.
So überprüfen und wenden Sie erforderliche Updates an
Benutzer können den Status von Zertifikaten über PowerShell-Befehle oder Registrierungseditorprüfungen überprüfen. Microsoft hat detaillierte Anleitungen für die Überwachung und Bereitstellung in Heim- und Unternehmensumgebungen bereitgestellt.
In Geschäftsszenarien verwalten IT-Administratoren den Prozess mit ihren eigenen Tools. Die Empfehlung lautet, Updates so schnell wie möglich zu installieren, um eine Verschlechterung des Sicherheitsstatus nach Juni 2026 zu vermeiden.
Auswirkungen auf Funktionen, die von Secure Boot abhängig sind
Funktionen wie BitLocker-Verbesserungen und Codeintegrität beim Booten hängen davon ab, dass die Vertrauenskette intakt ist. Bootloaders Drittanbieter- und optionale Komponenten können ebenfalls betroffen sein, wenn sie Vertrauensaktualisierungen erfordern.
Das Deaktivieren von Secure Boot ist eine mögliche Alternative, erfordert jedoch einen Wiederherstellungsschlüssel für mit BitLocker verschlüsselte Datenträger. Microsoft bekräftigt, dass es für den Schutz vor Rootkits und Malware beim Booten unerlässlich ist, die Ressource aktiv zu halten.
Empfohlene Vorbereitung für Anwender und Unternehmen
Installieren Sie regelmäßig alle ausstehenden Updates für Windows. Verifique ob der PC-Hersteller aktuelle Firmware-Updates anbietet. Monitore offizielle Mitteilungen von Microsoft zu diesem Thema für spezifische Hinweise.
Der Übergang stellt eine geplante Erneuerung der Wurzel des Vertrauens nach mehr als 15 Jahren dar. Novos-Zertifikate haben eine verlängerte Gültigkeit bis 2038 und stärken die Gesamtsicherheit des Systems.
