Auf den Punkt: Nach dem Ablauf der Secure-Boot-Zertifikate 2026 können Systeme neue 2023-signierte Bootloader nicht mehr verifizieren und erhalten keine Sicherheitsupdates gegen Pre-Boot-Angriffe.
Drei zentrale Microsoft-Zertifikate für UEFI Secure Boot laufen zwischen Juni und Oktober 2026 ab. Systeme werden zwar weiterhin starten, verlieren aber die Fähigkeit, neue Boot-Komponenten zu verifizieren und künftige Sicherheitsupdates einzuspielen.
Die kryptographischen Vertrauensanker von UEFI Secure Boot stammen größtenteils aus dem Jahr 2011 und nähern sich dem Ende ihrer fünfzehnjährigen Laufzeit. Betroffen sind drei Microsoft-Zertifikate: die Microsoft Corporation KEK CA 2011 (Ablauf 24. Juni 2026), die Microsoft UEFI CA 2011 (Ablauf 27. Juni 2026) und die Microsoft Windows Production PCA 2011 (Ablauf 19. Oktober 2026).
Ein abgelaufenes Zertifikat führt nicht zum Ausfall der Hardware. Bereits vertrauenswürdige Bootloader funktionieren weiterhin, und Systeme starten ohne Unterbrechung. Das eigentliche Problem ist subtiler: Die Sicherheitslage im Boot-Layer friert auf dem Stand von 2026 ein. Systeme verlieren die Fähigkeit, neue Boot-Komponenten zu verifizieren, die nur noch mit 2023-Zertifikaten signiert werden, und können keine aktualisierten Sperrlisten gegen Bootkits mehr einspielen. Microsoft kann nach Ablauf der KEK CA 2011 keine signierten Updates zur Signatur- und Sperrdatenbank mehr bereitstellen.
Praktische Auswirkungen zeigen sich vor allem bei Neuinstallationen und Updates: Eine frische Windows- oder Linux-Installation von einem aktuellen Installationsmedium scheitert an der Verifikation, wenn die Firmware die neuen 2023-Zertifikate nicht kennt. Dies betrifft auch Linux explizit, da die Third-Party UEFI CA für das Linux-Shim zuständig ist. Nach Juni 2026 ausschließlich 2023-signierte Sicherheitsupdates für Boot-Komponenten können auf betroffenen Systemen nicht mehr verifiziert werden.
Bei der Aktualisierung der Secure-Boot-Zertifikate entstehen auch neue Risiken. Jede Änderung der Secure-Boot-Variablen verändert die PCR7-Messungen, was bei Systemen mit aktivem BitLocker eine Abfrage des Recovery-Keys auslösen kann. Microsoft empfiehlt daher, BitLocker vor dem Update temporär auszusetzen.
Quelle: www.cert.at · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.