Microsoft ersetzt ablaufende Secure-Boot-Zertifikate unter Windows 11 – Alle Details und Anleitung zur Aktualisierung

• Secure Boot verhindert, dass Schadsoftware auf niedriger Ebene den Startvorgang von Windows 11 beeinträchtigt.
• Die ursprünglichen Secure-Boot-Zertifikate von Microsoft aus dem Jahr 2011 laufen im Juni 2026 ab, und neue Zertifikate aus dem Jahr 2023 verlängern den Schutz bis 2053.
• Geräte, die ab 2024 gekauft wurden, verfügen wahrscheinlich bereits über die neuesten Zertifikate. Andere erhalten diese schrittweise über Windows Update.
• Sie können den Status Ihres Zertifikats mit PowerShell überprüfen und Zertifikate manuell über Registry-Anpassungen und geplante Aufgaben aktualisieren, falls Aktualisierungen nicht automatisch erfolgt sind.

Das Zertifikat für das Secure-Boot-Modul Ihres PCs läuft im Juni 2026 ab. Seit dem Sicherheitsupdate vom Januar 2026 führt Microsoft schrittweise ein neues Zertifikat ein, das es Ihrem Computer ermöglicht, weiterhin ordnungsgemäß zu starten und Sicherheitsupdates zu empfangen.

Unter Windows 11 ist Secure Boot eine Sicherheitsfunktion der UEFI-Firmware (Unified Extensible Firmware Interface), die unautorisierte Änderungen an kritischen Systemdateien beim Systemstart verhindert. Dadurch wird sichergestellt, dass ein Gerät nur mit vom Hersteller als vertrauenswürdig eingestufter Software startet.

Mit anderen Worten: Secure Boot hilft, Ihre Geräte vor Schadsoftware auf niedriger Ebene (wie Bootkits und Rootkits) zu schützen, die den Bootvorgang infizieren und die Kontrolle über Ihren Computer erlangen kann, bevor das Betriebssystem und Ihre Antivirensoftware überhaupt geladen sind.

Secure-Boot-Zertifikate verstehen

Als Teil dieses Prozesses verwendet die Funktion kryptografische Schlüssel (bekannt als Zertifizierungsstellen (CAs)), um zu überprüfen, ob die Firmware-Module aus einer vertrauenswürdigen Quelle stammen. Dies trägt dazu bei, dass Schadsoftware in der frühen Phase des Gerätestarts nicht ausgeführt werden kann.

Secure-Boot-Zertifikate haben seit jeher ein Ablaufdatum, da sie sicherstellen, dass Ihr Computer weiterhin Sicherheitsupdates erhält und korrekt startet. Deshalb müssen Sie die Zertifikate von 2023 installieren, bevor die Zertifikate von 2011 im Juni 2026 ablaufen.

Wenn Sie ein Gerät besitzen, das 2024 (oder später) gekauft wurde, sind die neuesten Zertifikate höchstwahrscheinlich bereits installiert. Für alle anderen Computer verteilt Microsoft die neuen Secure-Boot-Zertifikate derzeit über Windows Update.

Im Sicherheitsupdate „2026-01 (KB5074109) (26200.7623)“, das am 13. Januar 2026 veröffentlicht wurde, hat der Softwarekonzern darauf hingewiesen, dass Updates nun einen Teil hochzuverlässiger Geräte-Targeting-Daten enthalten. Diese Daten identifizieren Geräte, die automatisch neue Secure-Boot-Zertifikate erhalten können. Die Geräte erhalten die neuen Zertifikate erst, nachdem sie ausreichend erfolgreiche Update-Signale demonstriert haben. Dies gewährleistet eine sichere und schrittweise Bereitstellung.

Das bedeutet, dass Sie keine manuellen Schritte unternehmen müssen, um Secure Boot zu aktualisieren , außer dem System weiterhin Updates zu erlauben. Zumindest bis zum Erscheinen des Sicherheitsupdates im Juni 2026.

Überprüfen Sie das Ablaufdatum des Secure-Boot-Zertifikats.

Da Sie keine Benachrichtigung erhalten, dass Ihr Computer nun die neuesten Zertifizierungsstellen enthält, ist es wichtig zu überprüfen, ob Ihr Gerät noch ein Update benötigt.

Windows 11 bietet keinen nativen Befehl zur Anzeige des lesbaren Ablaufdatums der Firmware. Sie können jedoch anhand der folgenden Schritte überprüfen, ob Sie die „aktualisierten“ Zertifikate für 2023 besitzen (die die 2026 ablaufenden Zertifikate ersetzen):

Öffnen Sie PowerShell (als Administrator) und führen Sie folgenden Befehl aus:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Richtig: Sie besitzen das neue Zertifikat (gültig bis 2053).
• Falsch: Wahrscheinlich besitzen Sie noch das Zertifikat von 2011 (gültig bis 2026).

PowerShell-Prüfung des Ablaufs des Secure-Boot-Zertifikats / Bild: Mauro Huculak

Nahezu alle modernen Secure-Boot-Ketten basieren auf Microsoft-Zertifikaten aus dem Jahr 2011, die folgende Ablaufdaten haben :

• Microsoft Corporation KEK CA 2011 (24. Juni 2026). 
• Microsoft Corporation UEFI CA 2011 (27. Juni 2026).
• Microsoft Option ROM UEFI CA 2011 (27. Juni 2026).
• Microsoft Windows Production PCA 2011 (19. Oktober 2026).

Zur Information: Folgendes leisten die einzelnen Zertifikate:

• KEK-Zertifikat: Vertrauensanker, der die Aktualisierung von Secure-Boot-Signaturdatenbanken (DB/DBX) ermöglicht.
• UEFI-CA-Zertifikate: Vertrauen Sie den Signaturen von Bootloadern und Firmware-Komponenten (einschließlich EFI-Anwendungen von Drittanbietern).
• Option ROM CA: Vertraut Firmware-Option-ROM-Modulen.
• Microsoft Windows Production PCA 2011: Gewährleistet, dass der Windows-Bootloader und zugehörige Binärdateien von der Firmware unter Secure Boot als vertrauenswürdig eingestuft werden.

Secure-Boot-Zertifikate unter Windows 11 aktualisieren

Wenn Ihre Zertifikate bald ablaufen, stellen Microsoft und Ihr Computerhersteller (OEM) automatisch Firmware-Updates oder „DBX“-Updates über Windows Update oder Systemaktualisierungen bereit, um die neuen CA-Zertifikate für 2023 zu registrieren. Sie können Secure Boot jedoch auch manuell aktualisieren.

Warnung: Stellen Sie vor dem Fortfahren sicher, dass Sie einen BitLocker-Wiederherstellungsschlüssel gespeichert haben und Ihr BIOS (UEFI) auf dem neuesten Stand ist. Wenn die Firmware Ihres Computers die neuen Zertifikate nicht unterstützt, kann es sein, dass Ihr Computer nach dem Update nicht mehr startet. Es wird außerdem empfohlen, vor dem Fortfahren eine vollständige Datensicherung Ihres Computers zu erstellen.

Öffnen Sie PowerShell (als Administrator) und führen Sie folgenden Befehl aus:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Dieser Befehl legt den Registrierungsschlüssel fest, der das Betriebssystem anweist, alle erforderlichen Zertifikate (einschließlich des PCA 2023-signierten Bootmanagers) bereitzustellen.

Der Wert 0x5944besteht im „vollständigen Abhilfe“-Code, der alle relevanten Zertifikatsaktualisierungen ermöglicht.

Windows 11 verfügt über eine integrierte Aufgabe, die diese Zertifikatsänderungen verarbeitet. Sie können diese Aufgabe manuell auslösen, um die Wartezeit von 12 Stunden zu vermeiden, indem Sie folgenden Befehl verwenden:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell aktualisiert Secure-Boot-Zertifikat / Bild: Mauro Huculak

Das Update erfordert in der Regel zwei Neustarts, um vollständig wirksam zu werden. Nach dem ersten Neustart aktualisiert das System den Bootmanager. Nach dem zweiten Neustart wird die Zertifikatregistrierung in der UEFI-Datenbank abgeschlossen.

Nach dem Neustart können Sie mit folgendem PowerShell- Befehl (als Administrator) überprüfen, ob „UEFI CA 2023“ nun in Ihrer Datenbank vorhanden ist:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Richtig: Ihr System ist jetzt mit den neuen Zertifikaten gesichert.
• Falsch: Sollte die Meldung nach mehreren Neustarts weiterhin falsch sein, ist die Firmware des Motherboards möglicherweise zu alt, um das neue Zertifikatsformat zu akzeptieren. Suchen Sie auf der Website Ihres Herstellers nach einem BIOS-Update für „Secure Boot“.

Wenn BitLocker aktiviert ist, müssen Sie die Verschlüsselung möglicherweise vorübergehend deaktivieren ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), bevor die Firmware die neuen Schlüssel erfolgreich auf das Gerät schreiben kann.