Werbung
Der Secure-Boot-Mechanismus moderner Windows-Systeme steht vor einem wichtigen Stichtag. Ab Juni 2026 laufen zentrale kryptografische Zertifikate aus, die als Fundament für den Startvorgang dienen. Microsoft beruhigt bereits jetzt, dass Windows-PCs auch nach Ablauf dieser Zertifikate wohl weiterhin booten und grundsätzlich funktionsfähig bleiben sollen. Einschränkungen drohen allerdings bei zukünftigen Sicherheitsaktualisierungen für den frühen Boot-Prozess.
Secure Boot ist tief im UEFI der Systeme verankert und prüft beim Start, ob zentrale Komponenten wie der Windows Boot Manager mit gültigen digitalen Signaturen versehen sind. Grundlage dieser Prüfung sind Zertifikate, die in der Firmware hinterlegt sind. Sie definieren, welchen Signaturstellen das System vertraut. Zwei dieser Zertifikate, die Microsoft Corporation Uefi CA 2011 und die Microsoft Windows Production PCA 2011, erreichen im Juni beziehungsweise Oktober 2026 ihr Ablaufdatum. Nach diesem Zeitpunkt kann die Firmware neu signierte Boot-Komponenten nur noch dann als vertrauenswürdig einstufen, wenn aktualisierte Zertifikate vorhanden sind.
Technisch bedeutet das: Ohne Umstellung auf die neueren Zertifikate aus dem Jahr 2023 können Systeme zwar weiterhin starten, sie akzeptieren jedoch keine neuen Versionen des Bootloaders, die mit den aktualisierten Signaturschlüsseln versehen sind. Das betrifft insbesondere Sicherheits-Patches für den Windows-Boot-Manager und Schutzmaßnahmen gegen Bootkits wie Blacklotus, die gezielt Schwachstellen im frühen Startprozess ausnutzen. Fehlt die Aktualisierung, verbleibt das System auf dem bisherigen Sicherheitsstand und kann neue Schutzmechanismen nicht validieren.
Microsoft hat mit der Verteilung der Nachfolge-Zertifikate, darunter die Microsoft Uefi CA 2023, bereits begonnen. Bei aktuellen Windows-Versionen erfolgt die Integration in der Regel über Windows Update. Viele Geräte, die seit 2024 produziert wurden, enthalten zudem die neuen Zertifikate bereits ab Werk in ihrer Firmware. In Standardkonfigurationen läuft die Umstellung weitgehend automatisiert im Hintergrund ab.
Komplexer kann die Situation bei älteren Systemen oder speziellen Konfigurationen werden. Geräte mit Dual-Boot-Umgebungen, etwa mit parallelen Linux-Installationen, oder PCs mit verbliebenen Legacy-Komponenten im UEFI benötigen unter Umständen eine manuelle Überprüfung. In Unternehmensumgebungen können Administratoren die Bereitstellung der Zertifikatsupdates gezielt steuern. Microsoft empfiehlt in solchen Fällen bei Bedarf eine manuelle Aktivierung über die Registry. Unter dem Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot lässt sich über den Wert AvailableUpdates die Installation verfügbarer Secure-Boot-Aktualisierungen anstoßen.
Für Endanwender steht vor allem im Vordergrund, sicherzustellen, dass Secure Boot im UEFI aktiviert ist und Firmware-Updates des jeweiligen Hardware-Herstellers regelmäßig eingespielt werden. Nur so bleibt die Integritätsprüfung des Bootprozesses auf dem aktuellen Stand. Das Auslaufen der alten Zertifikate markiert damit keinen abrupten Funktionsverlust, wohl aber einen klar definierten Zeitpunkt, ab dem ohne Aktualisierung keine weiteren sicherheitsrelevanten Verbesserungen im frühen Startprozess mehr möglich sind.
