mac it Illustration

Secure Boot-Zertifikate 2026: Stichtag 24. Juni für Windows-Systeme
Wichtige Fakten
Was ist Secure Boot?
Welche Zertifikate laufen ab​?
Was passiert, wenn man nichts tut?​
Wie kommen die neuen Zertifikate auf die Geräte?​
Wie prüft man den Status der Geräte?​
Wie rollt man die Aktualisierung aus?​
Was sollte man noch beachten?​
FAQs Secure Boot-Zertifikate
Handlungsempfehlungen für IT-Admins
Fazit

Die Secure Boot-Zertifikate aus dem Jahr 2011 laufen ab Juni 2026 aus – beginnend mit dem 24. Juni 2026.
Für die meisten Privatgeräte ist das ein Nicht-Ereignis, weil Microsoft die Erneuerung im Hintergrund übernimmt.
Für verwaltete Umgebungen in Unternehmen, Server und ältere Hardware ist es dagegen eine planbare, aber nicht triviale Migrationsaufgabe.

Wichtige Fakten zu Secure Boot

  • Die 2011er-Zertifikate laufen ab Juni 2026 aus, erster Stichtag ist der 24. Juni 2026 (KEK CA 2011).
  • Geräte starten weiterhin normal und erhalten weiterhin reguläre Windows-Updates.
  • Es entfallen neue Schutzmechanismen für den frühen Boot-Vorgang.
  • Ersatz ist eine 2023er-CA-Kette, gültig bis 2038.
  • Clients werden weitgehend automatisch versorgt – Windows Server nur durch manuelles Handeln.

Was ist Secure Boot – und warum laufen Zertifikate ab?

Secure Boot ist eine Funktion der UEFI-Firmware und prüft schon vor dem Start des Betriebssystems, ob Bootloader und frühe Boot-Komponenten von einer vertrauenswürdigen Stelle signiert wurden. Das Vertrauen stützt sich auf Zertifizierungsstellen (CAs), deren Schlüssel in den UEFI-Variablen KEK und DB hinterlegt sind.

Wie jedes Zertifikat haben auch diese CAs ein Ablaufdatum. Die 2011 ausgestellten Microsoft-Zertifikate erreichen 2026 ihr Lebensende – ein regulärer Lifecycle-Vorgang, der zugleich die Secure-Boot-Härtung seit der BlackLotus-Lücke (CVE-2023-24932) fortführt.

Welche Zertifikate laufen genau ab?

Betroffen sind drei Microsoft-Zertifikate mit unterschiedlichen Aufgaben:

Zertifikat (2011)RolleAblauf
Microsoft Corporation KEK CA 2011Key Exchange Key (KEK)24. Juni 2026
Microsoft Corporation UEFI CA 2011Drittanbieter-Bootloader & Option ROMsJuni 2026
Microsoft Windows Production PCA 2011Windows-Bootloader (in der DB)Oktober 2026

An ihre Stelle tritt die erneuerte 2023er-Kette:
Microsoft Corporation KEK 2K CA 2023, Windows UEFI CA 2023 (Windows Boot Manager),
Microsoft UEFI CA 2023 (Drittanbieter-Bootloader) sowie Microsoft Option ROM UEFI CA 2023.

Die einzelne Drittanbieter-CA wurde dabei bewusst in zwei 2023er-CAs aufgeteilt. Die neuen Zertifikate sind bis 2038 gültig.

Was passiert, wenn man nichts tut?

Kein Gerät bleibt am Stichtag stehen.
Systeme mit abgelaufenen 2011er-Zertifikaten booten weiterhin, und reguläre Windows-Updates werden weiter installiert. Es entfallen lediglich neue Schutzmechanismen für den frühen Boot-Vorgang (Windows Boot Manager, DB/DBX-Sperrlisten, Boot-Level-Fixes). Mit jeder künftigen Bedrohung sinkt die Schutzwirkung eines nicht migrierten Geräts also schrittweise – kein akuter Ausfall, sondern eine schleichend wachsende Lücke.

Wie kommen die neuen Zertifikate auf die Geräte?

Windows-Clients

Viele PCs ab 2024 bringen die 2023er-Zertifikate bereits mit. Übrige erhalten sie über monatliche Windows-Updates (Controlled Feature Rollout) – standardmäßig aktiv. Voraussetzung: Updates ab dem 11.11.2025.

Windows Server

Erhält die Zertifikate nicht automatisch. Administratoren stoßen die Aktualisierung manuell an – per Registry, Gruppenrichtlinie oder Virtualisierungs-plattform.

Linux / VMs / Cloud

Dual-signierte Shims (2011 + 2023) halten Systeme bootfähig. Bei Shielded-/Trusted-Launch-VMs muss die virtuelle Firmware die neuen Zertifikate kennen. TPM-PCR-Werte ändern sich.

Wie prüft man den Status der Geräte?

Vor jedem Rollout steht die Bestandsaufnahme. Diese Wege liefern verlässliche Aussagen:

  • Registry: UEFICA2023Status - NotStarted / InProgress / Updated
  • Ereignisanzeige: Event ID 1808 = Erfolg, 1801 = nicht angewendet
  • PowerShell: Confirm-SecureBootUEFI und Get-SecureBootUEFI
  • Flottenweit: Windows Autopatch Secure-Boot-Statusbericht (Intune)
PowerShell
# Zertifikatsstatus auslesen (PowerShell)
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' `
  -Name UEFICA2023Status | Select-Object UEFICA2023Status

Wie rollt man die Aktualisierung der Secure Boot-Zertifikate aus?

1

Firmware vorbereiten

Aktuelles BIOS/UEFI des Herstellers einspielen und BitLocker für 1-2 Neustarts aussetzen.

2

Rollout auslösen

Registry-Wert AvailableUpdates auf 0x5944 setzen.

3

Aufgabe starten

Geplante Aufgabe Secure-Boot-Update ausführen, statt auf den 12-Stunden-Zyklus zu warten.

4

Abschluss prüfen

Zwei Neustarts durchführen; Erfolg über UEFICA2023Status = „Updated“ und Event ID 1808 verifizieren.

CMD / PowerShell
REM Rollout per Registry auslösen
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot ^
  /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

REM Aufgabe sofort starten (PowerShell)
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Zwei Neustarts sind normal und kein Fehler.
Die Verteilung ist auch per Gruppenrichtlinie („Enable Secure Boot certificate deployment“), Microsoft Intune oder über die WinCS-APIs möglich.

Was sollte man noch beachten?

  • Firmware zuerst: ältere Geräte (2015–2020) brauchen oft ein OEM-BIOS-Update.
  • BitLocker vor dem Update aussetzen – sonst drohen Wiederherstellungsabfragen.
  • Einbahnstraße: kein Rückbau auf „nur 2011“; alte Boot-Medien neu erstellen.
  • Keine Werks-Resets von Secure Boot nach der Migration.
  • Die EFI-Systempartition kann zu knapp bemessen sein.

Wichtiger Hinweis

Secure Boot nicht deaktivieren, um den Ablauf zu umgehen, und das 2011er-Zertifikat nicht entfernen oder sperren.
Beides senkt das Schutzniveau oder macht Geräte startunfähig.

FAQs - Secure-Boot-Zertifikate

Nein. Geräte booten weiter und erhalten weiterhin reguläre Windows-Updates. Ohne Migration entfallen nur die Boot-Level-Schutzupdates.

Nein, keinesfalls. Das senkt das Schutzniveau erheblich. Der richtige Weg ist der Umstieg auf die 2023er-CA.

Nein. Windows Server benötigt manuelles Handeln über Registry oder Gruppenrichtlinie.

Am Wert UEFICA2023Status = „Updated“ sowie an Event ID 1808 im System-Ereignisprotokoll.

Handlungsempfehlung für IT-Admins

Sinnvoll ist ein gestaffeltes Vorgehen vor dem Stichtag: zunächst eine Inventur des Zertifikatsstands, dann aktuelle Firmware, anschließend ein Pilot-Rollout an validierten Geräten, der wellenweise ausgebaut wird – und durchgehend ein Monitoring über Registry-Status, Event-IDs und Autopatch-Berichte. Den größten Aufwand verursachen Server, Spezialhardware und ältere Images, weil sie nicht vom automatischen Rollout profitieren.

Fazit

Der Stichtag 24. Juni 2026 für die  Secure-Boot-Zertifikate ist weniger ein Notfall als eine Frist, die sich mit der gebotenen Sorgfalt gut beherrschen lässt – vorausgesetzt, die Migration wird strukturiert und früh genug angegangen.
Identity Threat
IT-News
Identity Threat: Gestohlene Zugangsdaten als Geschäftsrisiko
10. Juni 2026
Zum Blogbeitrag
blog-copilot-flex-routing
IT-News
Microsoft Copilot Flex Routing: Was M365-Admins wissen sollten
30. April 2026
Zum Blogbeitrag
blog_microsoft365_preiserhoehung
IT-News
Microsoft-365-Preiserhöhung zum 1. Juli 2026
28. Mai 2026
Zum Blogbeitrag

Fanden Sie den Blogbeitrag hilfreich und interessant?

Ja
Nicht wirklich

Vielen Dank für Ihre Rückmeldung!

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.