Auf den Punkt: Die Ablösung veralteter Secure-Boot-Zertifikate ist bis Juni 2026 notwendig, um zu verhindern, dass Systeme die Fähigkeit zur Verifizierung neuer Bootloader und zum Einspielen von Sicherheitsupdates verlieren.
Drei Microsoft-Zertifikate für die UEFI Secure Boot, die seit 2011 den Boot-Layer sichern, laufen zwischen Juni und Oktober 2026 ab. Ohne aktuelle Ersatzzertifikate können betroffene Systeme keine neuen Boot-Komponenten mehr verifizieren und verlieren Schutz vor Pre-Boot-Angriffen.
Drei Microsoft-Zertifikate prägen derzeit die UEFI Secure Boot und stammen aus dem Jahr 2011: die Microsoft Corporation KEK CA 2011 (läuft am 24. Juni 2026 ab), die Microsoft UEFI CA 2011 (27. Juni 2026) und die Microsoft Windows Production PCA 2011 (19. Oktober 2026). Diese Zertifikate signieren kritische Boot-Komponenten und Aktualisierungen der Signatur- und Sperrdatenbank, die Bootkits blockieren.
Ein abgelaufenes Zertifikat macht Geräte nicht unbrauchbar – Systeme starten weiterhin, bereits vertrauenswürdige Bootloader gelten weiterhin als solche. Das tatsächliche Problem ist subtiler: Mit dem Ablauf der KEK CA 2011 kann Microsoft keine signierten Updates der Sperrlisten mehr bereitstellen. Neue Einträge gegen Bootkits erreichen damit Geräte nicht mehr. Zugleich können neue Bootloader und Boot-Komponenten, die nur noch mit 2023-Zertifikaten signiert werden, nicht mehr verifiziert werden. Die Sicherheitslage am Boot-Layer friert auf dem Stand von 2026 ein – statt Schutzmaßnahmen zu aktualisieren, können Systeme nur noch veraltete Bootloader laden. Linux ist über die Third-Party UEFI CA explizit mitbetroffen: frische Linux-Installationen oder Security-Updates am Shim nach Juni 2026 scheitern an der Verifikation.
Microsoft ersetzt diese Zertifikate durch aktualisierte Versionen aus 2023: die Microsoft Corporation KEK 2K CA 2023, die Microsoft UEFI CA 2023 und Windows UEFI CA 2023, wobei die dritte Authority auch in eine separate Option ROM UEFI CA 2023 aufgespalten wird. Der Übergang erfordert sorgfältige Planung, da Änderungen an Secure-Boot-Variablen die PCR7-Messungen verändern, was BitLocker zur Abfrage des Recovery-Keys veranlasst. Microsoft empfiehlt, BitLocker vor dem Update vorübergehend zu deaktivieren.
Quelle: www.cert.at · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.