UEFI Secure Boot-Zertifikate von Microsoft laufen im Juni 2026 aus

Im kommenden Jahr wird ein wichtiges Sicherheitselement in modernen Windows-Systemen erneuerungsbedürftig: Microsofts UEFI-Secure Boot-Zertifikate, die seit vielen Jahren zur Absicherung des Systemstarts dienen, verlieren im Juni 2026 ihre Gültigkeit.

UEFI Secure Boot ist eine Sicherheitsfunktion in PCs, die verhindert, dass beim Einschalten unsignierte oder manipulierte Software ausgeführt wird. Dazu nutzt das System eine Kette von digitalen Zertifikaten, die dem Firmware-Code (z. B. Bootloader) vertrauen. Die derzeit verwendeten Microsoft-Zertifikate stammen aus dem Jahr 2011. Diese laufen im Juni 2026 ab und müssen ersetzt werden. 

Microsoft hat bereits neue Zertifikate mit dem Namen „CA 2023“ veröffentlicht und weist darauf hin, dass ältere Zertifikate nicht mehr für Sicherheitsupdates oder zur Vertrauensprüfung genutzt werden können, sobald sie abgelaufen sind.

Wenn die alten Zertifikate ihre Gültigkeit verlieren:

• Systeme mit aktiviertem Secure Boot erhalten keine Sicherheitsupdates mehr für Secure Boot-Komponenten oder den Windows-Bootloader.

• Windows-Startmodule oder andere Software, die nach Juni 2026 mit neuen Zertifikaten signiert wurden, werden möglicherweise nicht mehr als vertrauenswürdig erkannt.

• Geräte, die Secure Boot deaktiviert haben, starten zwar weiter, verlieren aber die Schutzfunktion, die Manipulation beim Start verhindern soll.

Diese Änderungen betreffen physische Rechner und virtuelle Maschinen, auf denen unterstützte Windows-Versionen laufen – angefangen bei älteren Windows 10-Installationen bis hin zu aktuellen Windows‐Server-Systemen.

Grundsätzlich zählen dazu:

• Windows-Clients und Server, die Secure Boot verwenden. 

• Geräte, die vor 2025 gebaut wurden und noch die älteren 2011-Zertifikate nutzen. 

Neuere Systeme, die ab 2024 oder später gebaut wurden, enthalten häufig bereits die neuen CA 2023-Zertifikate und sind daher nicht direkt betroffen.

Damit dein System auch nach Juni 2026 sicher bootet und weiterhin Updates bekommt:

• Windows Updates regelmäßig installieren, denn Microsoft verteilt die neuen Zertifikate über die monatlichen Updates. 

• Prüfe, ob ein UEFI/BIOS-Update vom Hersteller verfügbar ist, das bereits die neuen Zertifikate oder Firmware-Unterstützung dafür enthält. 

• Bei verwalteten IT-Umgebungen können Administratoren Tools wie PowerShell oder Gruppenrichtlinien nutzen, um sicherzustellen, dass die Systeme die neuen Secure Boot-Zertifikate erhalten.

In vielen Fällen nicht: Windows-Geräte mit aktivem Secure Boot und aktuellem Update-Status werden die neuen Zertifikate automatisch erhalten, bevor die alten ablaufen. Dennoch lohnt es sich, die eigene Hardware- und Update-Strategie zu überprüfen – vor allem bei älteren Systemen oder in Unternehmensumgebungen.

Vereinbare einen Termin mit uns, wir unterstützen dich gerne dabei!