Ablauf der Secure Boot-Zertifikate: Die Zertifikatskrise im Juni 2026

Millionen von PCs verlassen sich auf Sicherheitszertifikate aus dem Jahr 2011. Erfahren Sie, wie Sie Ihr System vor der Frist im Jahr 2026 aktualisieren, um eine Verschlechterung der Sicherheit zu vermeiden.

---

Hook & Für wen dieser Artikel ist

Millionen von PCs, die seit 2012 hergestellt wurden, verlassen sich auf Sicherheitszertifikate aus dem Jahr 2011, die das Ende ihrer Lebensdauer erreichen ^[8][16]. Dieser Leitfaden erklärt, wie Sie sicherstellen, dass Ihr Gerät vor der Frist im Jahr 2026 sicher und bootfähig bleibt.

---

Hook & Für wen dieser Artikel ist

Seit 2011 basiert das Fundament von Secure Boot auf demselben Satz digitaler Zertifikate, um zu verifizieren, dass Ihr Betriebssystem nicht manipuliert wurde ^[3][4]. Diese ursprünglichen Zertifikate aus der Ära 2011 laufen jedoch planmäßig ab Juni 2026 aus ^[3][8][16]. Wenn ein System vor dieser Frist nicht mit neuen Zertifikaten aus der Ära 2023 aktualisiert wird, kann es schließlich die Fähigkeit verlieren, neuere Betriebssysteme zu booten oder kritische Sicherheitsmaßnahmen zu erhalten ^[3][4][13].

Dieser Übergang ist eine bedeutende "Generationenerneuerung" für das Windows-Ökosystem, die fast jeden modernen PC betrifft ^[15]. Während die meisten automatisierten Systeme dieses Update im Hintergrund abwickeln, ist das Verständnis des Zeitplans entscheidend für die Aufrechterhaltung der Systemintegrität und Compliance ^[8][18].

Für wen dieser Artikel ist

Dieser Artikel richtet sich an:

• Windows 10- und Windows 11-Heimanwender, die sicherstellen möchten, dass ihre Hardware weiterhin unterstützt wird ^[14][16].
• IT-Administratoren, die Flotten von physischen oder virtuellen Maschinen verwalten, die eine manuelle Überwachung der Updates erfordern ^[18].
• Benutzer, die besorgt über die langfristige Systemstabilität und den Schutz vor Bedrohungen auf Boot-Ebene wie dem BlackLotus-Bootkit sind ^[15][16].

Was nicht abgedeckt wird

Dieser Leitfaden konzentriert sich speziell auf den von Microsoft geleiteten Zertifikats-Rollout für das Windows-Ökosystem ^[14]. Er deckt nicht ab:

• Reine Linux-Hardware: Geräte, auf denen ausschließlich Linux-Distributionen laufen, liegen außerhalb dieses Rahmens, obwohl Windows die Zertifikate für Dual-Boot-Systeme aktualisieren wird ^[16].
• Apple-Hardware: Obwohl macOS in einigen Konfigurationen technisch von Secure Boot CAs betroffen ist, liegt es außerhalb des Microsoft-Supports ^[16].
• Legacy Bios: Nur Systeme, die UEFI mit aktiviertem Secure Boot verwenden, sind betroffen ^[3][6].

TL;DR / Was das für Sie bedeutet

Microsoft ersetzt derzeit seine ursprünglichen Secure Boot-Zertifikate, die seit 2011 die Grundlage für das Vertrauen beim PC-Start bilden ^[3][15]. Diese 15 Jahre alten Zertifikate laufen ab Juni 2026 aus, was einen Übergang zu aktualisierten 2023-Versionen erforderlich macht, um die Systemsicherheit und Funktionalität aufrechtzuerhalten ^[2][10][18].

Für die meisten Benutzer wird erwartet, dass dieser Übergang automatisch über Windows Update und Firmware-Updates der Hersteller abgewickelt wird ^[4][8]. Eine proaktive Überprüfung wird jedoch empfohlen, um sicherzustellen, dass Ihre Hardware mit zukünftigen Sicherheitspatches und Betriebssystemversionen kompatibel bleibt ^[13][14].

Wichtige Erkenntnisse

• Ablaufzeitplan: Die ursprünglichen Microsoft-Zertifikate (KEK und DB) laufen ab Juni 2026 aus, weitere folgen im Oktober 2026 ^[1][10][16].
• Betroffene Systeme: Fast alle seit 2012 hergestellten Windows-basierten Geräte sind potenziell betroffen, einschließlich physischer Hardware und virtueller Maschinen ^[10][12][18].
• Sicherheitsrisiko: Ein Versäumnis der Aktualisierung kann Geräte anfällig für Bootkit-Malware wie BlackLotus machen und die Installation zukünftiger Sicherheitsmaßnahmen verhindern ^[2][5][15].
• Automatische Bereitstellung: Verwaltete Windows-Geräte und solche, die regelmäßige Updates erhalten, werden die neuen Zertifikate wahrscheinlich ohne Benutzereingriff erhalten ^[4][11][15].

---

Empfohlene Maßnahmen

1. Windows auf dem neuesten Stand halten: Stellen Sie sicher, dass Ihr System die neuesten kumulativen Updates erhält, da Microsoft diese nutzt, um die neuen 2023 Certificate Authorities (CAs) auszuliefern ^[8][11][16].
2. Firmware-Updates installieren: Suchen Sie auf der Website Ihres PC-Herstellers oder in dessen Support-App nach BIOS/UEFI-Updates, da diese oft die notwendigen Zertifikatsgrundlagen enthalten ^[11][14][15].
3. Secure Boot-Status überprüfen: Verwenden Sie den Befehl msinfo32, um zu bestätigen, dass Secure Boot auf "Ein" steht, damit Ihr Gerät diese Updates empfangen und verarbeiten kann ^[13].
4. Ältere Hardware prüfen: Systeme aus dem Jahr 2019 oder früher erfordern möglicherweise eine manuelle Überprüfung, um sicherzustellen, dass sie über genügend Speicher (NVRAM) verfügen, um die neuen Zertifikate zu speichern ^[4][14].

Risikohinweis: Während Ihr PC wahrscheinlich auch nach Ablauf der Zertifikate vorhandene Software booten wird, tritt er in einen "verschlechterten Sicherheitszustand" ein, der ihn schließlich daran hindern kann, neuere Betriebssysteme oder kritische Sicherheitsfixes zu laden ^[4][15].

Wichtige Quellen (Quick Links)

• Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog ^[1]
• Building a safer digital future, together ^[2]
• Windows' original Secure Boot certificates expire in June—here's wh... ^[3]

Hintergrund / Grundlagen

Secure Boot ist ein Sicherheitsstandard der Industrie, der sicherstellen soll, dass ein Computer nur mit Software startet, der der Originalgerätehersteller (OEM) vertraut ^[1][16]. Dieser Prozess beginnt während der Plattforminitialisierung, bei der die Firmware bestimmte Module – einschließlich UEFI-Treiber, Option-ROMs und Bootloader – authentifiziert, bevor sie ausgeführt werden dürfen ^[1][5]. Durch das Blockieren von nicht vertrauenswürdigem oder bösartigem Code in diesem frühesten Stadium minimiert das System das Risiko hochentwickelter Angriffe wie Bootkits erheblich, die für Standard-Antivirensoftware schwer zu erkennen sind ^[3][12].

Die Grundlage dieses Vertrauens ist eine Hierarchie von kryptografischen Schlüsseln und Zertifikaten, die direkt in der Firmware des Geräts gespeichert sind ^[1][9]. Diese Komponenten fungieren als digitale "Schlüssel", mit denen die Firmware die Signatur jeder Software überprüft, die geladen werden soll ^[3][5]. Diese Hierarchie umfasst typischerweise die folgenden Elemente:

• Platform Key (PK): Meist im Besitz des Hardwareherstellers, dient dieser als Vertrauensanker (Root of Trust) für das gesamte System ^[1][9].
• Key Enrollment Key (KEK): Dieser autorisiert Aktualisierungen der Signaturdatenbanken und enthält oft Schlüssel sowohl von Microsoft als auch vom OEM ^[1][6].
• Allowed Signature Database (DB): Diese enthält die spezifischen Zertifikate und Hashes für autorisierte Bootloader und Treiber ^[1][18].
• Disallowed Signature Database (DBX): Eine Sperrliste, die verwendet wird, um den Start bekannter bösartiger oder anfälliger Software zu verhindern ^[1][9].

---

Die Rolle der Zertifikatslebensdauer

Es ist eine branchenübliche Praxis, dass Sicherheitszertifikate eine feste Lebensdauer haben, um sicherzustellen, dass der kryptografische Schutz über die Zeit robust bleibt ^[3][5]. Diese Zertifikate sind nicht dauerhaft; sie sind so konzipiert, dass sie regelmäßig erneuert werden, um zu verhindern, dass alternde Anmeldeinformationen zu einer Schwachstelle werden ^[3]. Aktuelle Daten deuten darauf hin, dass der ursprüngliche Satz von Secure Boot-Zertifikaten seit etwa 15 Jahren kontinuierlich im Einsatz ist ^[3][16].

Da diese Anmeldeinformationen Ablaufdaten haben, müssen sie ersetzt werden, bevor sie ungültig werden ^[2][12]. Die primären Zertifikate aus dem Jahr 2011 werden voraussichtlich ab Juni 2026 ablaufen ^[1][6]. Wenn diese "Schlüssel" nicht vor dem Ablaufdatum auf die neueren 2023-Versionen aktualisiert werden, kann die Vertrauenskette beeinträchtigt werden, was dazu führen kann, dass das Gerät keine zukünftigen Sicherheitsmaßnahmen für den Bootvorgang mehr erhalten kann ^[1][8].

Problemerklärung

Die Secure Boot-Infrastruktur, die seit der Veröffentlichung von Windows 8 im Jahr 2012 weitgehend unverändert geblieben ist, nähert sich einem kritischen Übergangspunkt ^[4][18]. Die digitalen Zertifikate, die den "Vertrauensanker" für Millionen von PCs bilden, laufen bald ab und leiten ein schrittweises Ende des Lebenszyklus ein, das beeinflusst, wie Geräte Software während der Startsequenz verifizieren ^[12][15].

Ab Juni 2026 werden die ursprünglichen Certificate Authorities (CAs) aus dem Jahr 2011 nicht mehr für das Signieren neuer Updates oder Komponenten gültig sein ^[1][18]. Obwohl dies eine branchenübliche Praxis zur Aufrechterhaltung der kryptografischen Stärke ist, ist das Ausmaß dieser spezifischen Erneuerung erheblich, da diese Zertifikate seit etwa 15 Jahren das Fundament der PC-Bootsicherheit bilden ^[8][12].

---

Was passiert, wenn Zertifikate ablaufen?

Wenn ein Gerät vor der Frist nicht auf die neuen 2023-Zertifikate umstellt, wird es nicht plötzlich aufhören zu funktionieren. Branchendokumentationen bestätigen, dass betroffene PCs weiterhin normal booten und vorhandene Software ausführen werden ^[3][13]. Das System tritt jedoch in einen Zustand ein, der als verschlechterter Sicherheitszustand bezeichnet wird ^[3][4].

In diesem Zustand sind folgende Probleme zu erwarten:

• Verlust von Sicherheitspatches: Das System verliert die Fähigkeit, neue Sicherheitsupdates für den Windows Boot Manager und andere Secure Boot-Komponenten zu installieren ^[1][18].
• Vertrauensfehler: Der PC vertraut möglicherweise Software von Drittanbietern, wie Hardwaretreibern oder Bootloadern, nicht mehr, die nach Juni 2026 mit den neueren Zertifikaten signiert wurden ^[1][9].
• Anfälligkeit für Schwachstellen: Wenn neue Bedrohungen auf Boot-Ebene entdeckt werden, bleiben betroffene Geräte exponiert, da sie die erforderlichen Abhilfemaßnahmen oder aktualisierten Sperrlisten (DBX) nicht mehr anwenden können ^[5][13].
• Kompatibilitätsrisiken: Im Laufe der Zeit können neuere Betriebssysteme oder Firmware-Updates möglicherweise nicht mehr geladen werden, da die Hardware nicht mehr über die gültigen Schlüssel verfügt, um sie zu verifizieren ^[3][13].

---

Vergleich von ablaufenden vs. neuen Zertifikaten

Das Update beinhaltet den Austausch von drei Kernzertifikaten, die in den Firmware-Variablen des Systems gespeichert sind, insbesondere dem Key Exchange Key (KEK) und der Signature Database (DB) ^[1][6].

Ablaufendes Zertifikat (2011)	Neues Zertifikat (2023)	Ablaufdatum	Speicherort
Microsoft Corporation KEK CA 2011	Microsoft Corporation KEK 2K CA 2023	Juni 2026	KEK
Microsoft Corporation UEFI CA 2011	Microsoft UEFI CA 2023 / Option ROM CA 2023	Juni 2026	DB
Microsoft Windows Production PCA 2011	Windows UEFI CA 2023	Oktober 2026	DB

Hinweis: Die Erneuerung des UEFI CA 2011-Zertifikats teilt sich tatsächlich in zwei separate Zertifikate auf (UEFI CA 2023 und Option ROM CA 2023), um eine präzisere Kontrolle über das Systemvertrauen zu ermöglichen ^[2][15].

Die Bedrohung durch Bootkit-Malware

Das Hauptrisiko bei einem Versäumnis des Updates ist die erhöhte Anfälligkeit für Bootkits, wie das BlackLotus UEFI-Bootkit ^[1]. Bootkits sind besonders gefährlich, da sie ausgeführt werden, bevor das Betriebssystem überhaupt startet, was ihre Erkennung durch Standard-Antivirensoftware schwierig oder potenziell unmöglich macht ^[1][12].

Ohne gültige, aktuelle Zertifikate kann ein System seine Forbidden Signature Database (DBX) nicht aktualisieren – die Liste, die Microsoft verwendet, um bekannte bösartige oder kompromittierte Bootloader zu blockieren ^[5][15]. Dies lässt potenziell eine dauerhafte "offene Tür" für hochentwickelte Cyberangriffe, die auf die frühesten Phasen der Gerätestartsequenz abzielen ^[1][13].

Ursachen / Analyse

Der bevorstehende Ablauf der Secure Boot-Zertifikate ist kein technisches Versagen, sondern ein geplanter Sicherheitsübergang. Da Secure Boot auf Firmware-Ebene arbeitet, um sicherzustellen, dass nur vertrauenswürdige Software beim Start ausgeführt wird, muss der zugrunde liegende "Vertrauensanker" regelmäßig erneuert werden, um hohe Sicherheitsstandards aufrechtzuerhalten ^[6][7].

1. Natürlicher Zertifikatslebenszyklus

Digitale Zertifikate sind zeitlich begrenzt, um zu verhindern, dass alternde kryptografische Anmeldeinformationen zu einer Sicherheitsschwäche werden ^[7][12]. Die ursprünglichen Zertifikate, die derzeit das Secure Boot-Ökosystem antreiben, wurden 2011 während der Entwicklung von Windows 8 ausgestellt ^[8][18]. Nach etwa 15 Jahren kontinuierlichem Einsatz erreichen diese Zertifikate das Ende ihres geplanten Lebenszyklus und laufen zwischen Juni und Oktober 2026 ab ^[4][10][11].

2. Aufkommen fortschrittlicher Bootkits

Moderne Cyberbedrohungen haben sich seit der Festlegung der Standards von 2011 erheblich weiterentwickelt. Hochentwickelte Bootkit-Malware wie BlackLotus (CVE-2023-24932) hat die Fähigkeit bewiesen, Schwachstellen im frühen Bootprozess auszunutzen, die Standard-Antivirensoftware nicht leicht erkennen kann ^[1][16]. Die Aktualisierung auf die Versionen der 2023 Certificate Authority (CA) ermöglicht es Microsoft und Hardwarepartnern, robustere kryptografische Standards und granulare Vertrauenskontrollen zu implementieren ^[1][2][5].

3. Koordinierter Branchenübergang

Die Erneuerung der Zertifikatskette ist ein massiver Wartungsaufwand, an dem Microsoft und Original Equipment Manufacturers (OEMs) weltweit beteiligt sind ^[4][7]. Dieser Übergang ist ein koordinierter Schritt zwischen Ökosystempartnern wie Dell, HP und Lenovo, um die 2011er-Kette durch die neue 2023er-Kette zu ersetzen: KEK CA 2023, UEFI CA 2023 und Windows UEFI CA 2023 ^[4][13]. Dieser Wechsel soll sicherstellen, dass Geräte mit zukünftigen Hardware- und Software-Updates kompatibel bleiben ^[3][9].

4. Einstellung veralteter Standards

Die bestehenden Zertifikate von 2011 werden schrittweise eingestellt, da sie die nächste Generation von Sicherheitsmaßnahmen nicht mehr unterstützen können ^[6][14]. Branchenexperten weisen darauf hin, dass die Beibehaltung dieser alternden Standards Systeme neuen Schwachstellen aussetzen würde, wenn neue Bedrohungen auf Boot-Ebene entdeckt werden ^[6][9]. Durch die Einstellung der 2011er-Versionen zielt die Branche darauf ab, alle unterstützten Windows-Geräte an moderne Sicherheitserwartungen anzupassen ^[7][18].

---

Feature	2011 Zertifikate (Ablaufend)	2023 Zertifikate (Neu)
Einführung	Windows 8 / Server 2012 [18]	Ende 2023 / 2024 [1][12]
Ablauf	Juni – Oktober 2026 [1][4]	Erweiterter Lebenszyklus (geschätzt 15+ Jahre)
Vertrauensstufe	Einfache Drittanbieter-Signierung [1]	Granulare Kontrolle (Option ROM vs. Bootloader) [2][5]
Risikostatus	Anfällig für moderne Bootkits [16]	Unterstützt neueste Sicherheitsmaßnahmen [6][12]

---

Beweise & Realitätscheck

Große Hardwarehersteller und offizielle Microsoft-Dokumentationen bestätigen, dass dieser Übergang eine branchenübliche Praxis ist ^[7][12]. Berichte von Herstellern wie Dell und Lenovo deuten darauf hin, dass sie bereits begonnen haben, duale Zertifikate auf neueren Plattformen auszuliefern, um eine nahtlose Übergabe zu gewährleisten ^[11][13]. Offizielle Windows IT Pro-Leitfäden betonen, dass diese Updates notwendig sind, um zu verhindern, dass Systeme in einen "verschlechterten Sicherheitszustand" eintreten, in dem sie keine kritischen Schutzmaßnahmen auf Boot-Ebene mehr erhalten können ^[1][3][10].

Beweise & Realitätscheck

Offizielle Dokumentationen von Microsoft bestätigen, dass die ursprünglichen Secure Boot-Zertifikate, die seit 2012 im Einsatz sind, das Ende ihres geplanten Lebenszyklus erreichen ^[15][18]. Es wird erwartet, dass diese Zertifikate ab Juni 2026 ablaufen, wobei der vollständige Ablauf des Windows Production PCA 2011 bis Oktober 2026 erfolgt ^[4][16]. Um die Systemsicherheit aufrechtzuerhalten, hat Microsoft offiziell den Rollout des Windows UEFI CA 2023-Zertifikats über Standard-Windows-Updates angekündigt ^[15][16].

Derzeit findet eine branchenweite Zusammenarbeit statt, um diesen Übergang über Millionen von einzigartigen Hardwarekonfigurationen hinweg zu erleichtern ^[4][9]. Berichte deuten darauf hin, dass Microsoft diese aktualisierten Zertifikate als Teil der regulären monatlichen Updates an unterstützte Windows-Geräte liefert ^[4][17]. Dieser groß angelegte Sicherheitswartungsaufwand soll sicherstellen, dass Geräte weiterhin vertrauenswürdige Boot-Software verifizieren und kritische Sicherheitsfixes für den Windows Boot Manager erhalten können ^[4][16].

Große Hardwarehersteller haben ebenfalls spezifische Leitfäden und Firmware-Updates veröffentlicht, um die neuen Zertifikatsstandards zu unterstützen:

Hersteller	Ergriffene Maßnahme	Quelle
MSI	BIOS-Updates inklusive Windows UEFI CA 2023 veröffentlicht; manuelle Registry-Update-Pfade für IT-Admins bereitgestellt.	[28][29]
Dell	Plattformspezifische Listen für BIOS-Updates veröffentlicht und interne Systeme auf Kompatibilität validiert.	[26]
HP	Bestätigt, dass Firmware-Updates für alle unterstützten Windows 11-PCs in Entwicklung sind, um 2023-Zertifikate zu übernehmen.	[15]

Viele Geräte, die 2024 oder später hergestellt wurden, enthalten möglicherweise bereits die aktualisierten 2023-Zertifikate in ihrer Firmware, sodass kein weiteres Handeln des Benutzers erforderlich ist ^[6][15]. Bei älteren Systemen erfordert die Integration dieser Schlüssel jedoch oft eine Kombination aus Betriebssystem-Updates und OEM-spezifischen Firmware-Updates (BIOS), um sicherzustellen, dass die Hardware die neuen kryptografischen Schlüssel erkennen und speichern kann ^[1][11].

---

Hinweis: Während Microsoft beabsichtigt, den Update-Prozess für einen Großteil der Windows-Geräte automatisch zu verwalten, können bestimmte spezialisierte Systeme – wie spezifische Server- oder IoT-Konfigurationen – manuelle Eingriffe oder maßgeschneiderte Bereitstellungspläne erfordern ^[11][15].

Der schrittweise Rollout-Ansatz basiert auf umfassenden Tests, um potenzielle Boot-Störungen zu minimieren ^[4][11]. Aktuelle Daten deuten darauf hin, dass Geräte ohne die 2023-Zertifikate nach der Frist 2026 zwar normal weiterarbeiten, aber potenziell die Fähigkeit verlieren, neue Sicherheitsschutzmaßnahmen für den frühen Bootprozess zu installieren, was sie anfällig für aufkommende Bedrohungen wie Bootkit-Malware macht ^[15][16].

Selbsttest / Diagnose

Um festzustellen, ob ein System auf den bevorstehenden Ablauf der Secure Boot-Zertifikate vorbereitet ist, müssen der aktuelle Boot-Status überprüft und das Vorhandensein der aktualisierten 2023-Zertifikate kontrolliert werden. Die folgenden Schritte helfen dabei, festzustellen, ob ein Gerät manuelle Eingriffe oder ein Firmware-Update benötigt ^[3][15].

---

Schritt 1: Secure Boot-Status überprüfen

Die erste Voraussetzung ist sicherzustellen, dass Secure Boot derzeit aktiv ist. Wenn Secure Boot deaktiviert ist, kann das System die aktiven Zertifikatsvariablen nicht aktualisieren ^[10][13].

• GUI-Methode: Drücken Sie Windows + R, geben Sie msinfo32 ein und drücken Sie die Eingabetaste ^[3][10]. Suchen Sie im Fenster Systeminformationen den Punkt Sicherer Startzustand. Dieser muss auf Ein stehen ^[3][10][18].
• PowerShell-Methode: Öffnen Sie PowerShell als Administrator und geben Sie Confirm-SecureBootUEFI ein ^[18]. Wenn der Befehl True zurückgibt, ist Secure Boot aktiviert ^[18].

Schritt 2: Auf 2023-Zertifikate prüfen

Sobald bestätigt ist, dass Secure Boot aktiv ist, müssen Sie prüfen, ob das Windows UEFI CA 2023-Zertifikat in der Signaturdatenbank (db) vorhanden ist.

1. Klicken Sie mit der rechten Maustaste auf die PowerShell- oder Terminal-App und wählen Sie Als Administrator ausführen ^[3].
2. Geben Sie den folgenden Befehl ein: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') ^[2][3][6].
3. Ergebnis analysieren:
   • True: Das System verwendet das neue Zertifikat und gilt allgemein als vorbereitet ^[3][6].
   • False: Das System hat die aktualisierten Zertifikate noch nicht erhalten oder angewendet ^[3][6].

Schritt 3: Firmware (BIOS) Integration prüfen

Selbst wenn der Befehl in Schritt 2 True zurückgibt, könnten die Zertifikate nur im NVRAM gespeichert und nicht fest in der Firmware der Hardware verankert sein ^[1][3]. Um zu prüfen, ob das BIOS/UEFI selbst die neuen Zertifikate enthält, führen Sie diesen Befehl aus:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023') ^[2].

Wenn dies False zurückgibt, ist das bei älteren PCs normal, deutet aber darauf hin, dass ein BIOS-Update des Herstellers erforderlich sein könnte, um die Zertifikate dauerhaft zu integrieren ^[1][2][3]. Neuere Systeme, die seit 2024 oder 2025 hergestellt wurden, geben hier typischerweise True zurück ^[2].

---

Schritt 4: Windows Update-Verlauf prüfen

Microsoft hat aktualisierte UEFI CA-Zertifikate in kumulative Updates integriert, um diesen Übergang zu erleichtern ^[6]. Benutzer sollten ihren Update-Verlauf auf spezifische Patches prüfen, die nach Juni 2025 veröffentlicht wurden, wie z. B. KB5062710 ^[6][8].

Die erfolgreiche Installation dieses Updates (oder späterer kumulativer Versionen) soll die Zertifikate automatisch bereitstellen, vorausgesetzt, die Firmware des Systems unterstützt die Zertifikatsinjektion und Secure Boot ist aktiviert ^[6]. Wenn die Updates installiert sind, der PowerShell-Check in Schritt 2 aber immer noch False zurückgibt, ist der NVRAM des Systems möglicherweise voll oder fragmentiert, was eventuell ein Zurücksetzen der Secure Boot-Schlüssel auf Werkseinstellungen in den BIOS-Einstellungen erfordert ^[1][3].

Warnung: Bevor Sie Secure Boot-Schlüssel im BIOS zurücksetzen, stellen Sie sicher, dass Sie Ihren BitLocker-Wiederherstellungsschlüssel zur Hand haben, da dieser Vorgang eine Wiederherstellungsaufforderung auslösen kann ^[2][3].

Lösungen / Was zu tun ist

Der Prozess zur Aktualisierung der Secure Boot-Zertifikate variiert je nachdem, ob Sie ein Heimanwender sind oder eine Flotte von Unternehmensgeräten verwalten. Bei den meisten modernen Systemen wird erwartet, dass diese Updates automatisch im Rahmen der Standard-Wartungszyklen erfolgen ^[6][10].

---

Einsteigerfreundliche Schritte

Für die meisten Benutzer ist der einfachste Weg zur Aufrechterhaltung der Systemsicherheit, sicherzustellen, dass das Betriebssystem aktuell bleibt. Microsoft verwaltet den Zertifikatsaktualisierungsprozess für einen Großteil der Windows-Geräte normalerweise automatisch ^[10][12].

• Automatische Updates aktivieren: Stellen Sie sicher, dass Windows Update aktiv ist. Viele Geräte erhalten aktualisierte Zertifikate als Teil des regulären monatlichen Update-Prozesses, ohne dass weiteres Handeln erforderlich ist ^[6][16].
• Optionale Updates prüfen: Suchen Sie regelmäßig nach "Optionalen Updates" im Windows Update-Menü. Einige Systeme benötigen spezifische Firmware- oder "Treiber"-Updates, um die neue Zertifikatsdatenbank zu unterstützen ^[15].
• BIOS/UEFI-Updates verifizieren: Suchen Sie auf der Support-Seite Ihres PC-Herstellers (OEM) nach den neuesten BIOS- oder UEFI-Updates. Eine aktualisierte Firmware ist oft die Grundlage dafür, dass neue Secure Boot-Zertifikate korrekt akzeptiert werden ^[16][17].
• Windows-Sicherheit überwachen: In den kommenden Monaten wird erwartet, dass die Windows-Sicherheits-App Meldungen zum Status der Zertifikatsaktualisierungen bereitstellt, um Benutzern zu helfen, den Fortschritt zu verfolgen ^[6].

Warnung: Wenn Sie sich entscheiden, Secure Boot-Schlüssel im BIOS manuell zurückzusetzen, um Platz für neue Zertifikate zu schaffen, stellen Sie sicher, dass Sie Ihren BitLocker-Wiederherstellungsschlüssel zur Hand haben. Andernfalls könnte dies zu einem Verlust des Datenzugriffs führen ^[1][3].

---

Fortgeschrittene Lösungen

Wenn ein Gerät nicht automatisch aktualisiert wird oder beim Prüfen auf das Windows UEFI CA 2023-Zertifikat einen false-Wert zurückgibt, kann ein manuelles Eingreifen erforderlich sein ^[3].

1. Manuelle Überprüfung via PowerShell

Um festzustellen, ob Ihr System bereits die neuen Zertifikate verwendet, führen Sie PowerShell als Administrator aus und verwenden Sie den folgenden Befehl: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Wenn dies True zurückgibt, ist die aktive Datenbank aktualisiert ^[1][3]. Um zu prüfen, ob die Zertifikate in der Firmware verankert sind (sodass sie auch nach einem BIOS-Reset erhalten bleiben), ersetzen Sie db durch dbdefault im Befehl ^[3].

2. Spezialisierte Bereitstellungstools

IT-Profis können das Windows Configuration System (WinCS) CLI oder Microsoft Intune verwenden, um die Bereitstellung von Zertifikaten zu erzwingen ^[17][20].

Methode	Zielgruppe	Voraussetzung
Microsoft Intune	Verwaltete Organisationen	Benutzerdefinierte Compliance-Skripte [9][17]
WinCS CLI	Fortgeschrittene Benutzer/IT	WinCsFlags.exe Tool [13][20]
Registry-Schlüssel	Power-User	MicrosoftUpdateManagedOptIn Schlüssel [15][16]
Gruppenrichtlinien	Domänen-Admins	Unternehmensweite Bereitstellung [11][17]

3. NVRAM löschen

Auf älteren PCs (ausgeliefert um 2019–2020) kann der NVRAM-Speicher voll oder fragmentiert sein, was das Speichern neuer Zertifikate verhindert ^[3][4]. In diesen Fällen kann ein "Factory Reset" der Secure Boot-Schlüssel in den BIOS-Einstellungen helfen, sicherzustellen, dass genügend freier Platz für die 2023-Zertifikate vorhanden ist ^[1][3].

Risiken und Einschränkungen

Manuelle Zertifikatsmanipulationen bergen inhärente Risiken. Während diese Updates darauf ausgelegt sind, den "Vertrauensanker" zu verbessern, kann eine unsachgemäße Implementierung zu Boot-Fehlern führen ^[12][15].

• Boot-Kompatibilität: Wenn Zertifikate aktualisiert werden, der Windows Boot Manager aber nicht korrekt darauf abgestimmt ist, vertraut das System dem Bootloader möglicherweise nicht ^[10][16].
• Nicht unterstützte Hardware: Ältere Systeme (vor 2019) erhalten möglicherweise keine Firmware-Updates von den Herstellern, was ihre Fähigkeit einschränken könnte, bis Oktober 2026 Sicherheitsfixes für den Boot Manager zu erhalten ^[3][16].
• Diagnosedaten: Für Unternehmenssysteme erfordert das automatisierte Management von Microsoft oft, dass Diagnosedaten auf der Stufe "Erforderlich" aktiviert sind. Wenn Firewalls diese Daten blockieren, wird das automatische Update möglicherweise nicht ausgelöst ^[7][16].

Experten raten dazu, wenn ein System korrekt funktioniert und in der Registry oder PowerShell als "aktualisiert" angezeigt wird, weitere manuelle Änderungen an den Secure Boot-Variablen zu vermeiden ^[17][20].

Risiken, Grenzen und wann man aufhören sollte

Während die Aktualisierung der Secure Boot-Zertifikate für die langfristige Sicherheit unerlässlich ist, beinhaltet der Prozess die Änderung sensibler Firmware-Variablen. Bei unsachgemäßer Handhabung können diese Updates zu Systeminstabilität oder zum Ausfall des Bootvorgangs führen ^[11][12].

Kritische Risiken manueller Eingriffe

Manuelle Eingriffe in UEFI-Variablen oder Secure Boot-Einstellungen bergen erhebliche Risiken. Das Deaktivieren von Secure Boot oder das Zurücksetzen auf Standardwerte kann die aktualisierten 2023-Zertifikate löschen und sie potenziell durch abgelaufene 2011-Versionen ersetzen, die in der Werks-Firmware gespeichert sind ^[14][16].

Auf bestimmten Geräten kann das Auswählen von Optionen wie dem Expert Key Mode im BIOS die aktiven Variablen vollständig löschen ^[14]. Darüber hinaus wird jede Änderung am Secure Boot-Status, wenn die BitLocker-Verschlüsselung aktiviert ist, wahrscheinlich eine Aufforderung zur Eingabe des Wiederherstellungsschlüssels auslösen ^[6][14]. Ohne diesen Schlüssel kann der Datenzugriff dauerhaft verloren gehen ^[6].

Hardware- und Firmware-Einschränkungen

Nicht jedes System kann diese Updates nahtlos akzeptieren. Technische Einschränkungen, die den Prozess behindern können, sind unter anderem:

• Voller NVRAM: UEFI-basierte Systeme verwenden eine kleine Menge an NVRAM, um Variablen zu speichern. Wenn dieser Speicher voll oder fragmentiert ist, können die neuen Zertifikate nicht gespeichert werden ^[3].
• Fehlerhafte Firmware: Einige ältere oder nicht gepatchte BIOS/UEFI-Versionen können Fehler enthalten, die verhindern, dass sie Zertifikatsübergaben von Windows akzeptieren ^[3][17].
• Inkompatibilität: Systeme, die vor 2012 hergestellt wurden, unterstützen diese spezifischen Secure Boot-Updates im Allgemeinen nicht, da sie möglicherweise nicht die ursprünglichen 2011-Zertifikate enthalten, die für den Übergang erforderlich sind ^[1][18].

Szenario	Potenzielle Auswirkung	Empfohlene Maßnahme
NVRAM ist voll	Update wird nicht angewendet	Alte Secure Boot-Schlüssel im BIOS löschen (erfordert BitLocker-Schlüssel) [3][6]
Secure Boot umschalten	Löscht 2023-Zertifikate	Secure Boot aktiviert lassen, wenn es bereits auf "Ein" steht [14][16]
Event ID 1795	Firmware-Übergabefehler	Zuerst nach OEM-Firmware/BIOS-Updates suchen [17]

---

Wann man aufhören und professionelle Hilfe suchen sollte

Es wird generell empfohlen, die manuelle Fehlersuche einzustellen und professionelle Hilfe auf Hardware-Ebene in folgenden Fällen zu suchen:

1. Wiederherstellungsschleifen: Wenn das System unmittelbar nach einem BIOS-Update oder einer Zertifikatsänderung in eine Schleife "Automatische Reparatur wird vorbereitet" oder BitLocker-Wiederherstellung eintritt ^[14][17].
2. Unbekannte Benutzeroberfläche: Wenn die BIOS/UEFI-Oberfläche unbekannt ist, da das Auswählen der falschen "Key Management"-Einstellung das Betriebssystem unbootbar machen kann ^[14].
3. Anhaltende Registry-Fehler: Wenn der Registry-Schlüssel AvailableUpdates das Bit 0x0004 nach mehreren Neustarts nicht löscht, was darauf hindeutet, dass das Update des Key Exchange Key (KEK) feststeckt ^[10][17].
4. Air-Gapped-Systeme: Da Microsoft Updates für Air-Gapped- oder stark eingeschränkte Umgebungen nicht verwalten kann, erfordern diese Systeme oft spezialisierte manuelle Bereitstellungsstrategien ^[13][16].

Warnung: Der Versuch, ein Zertifikatsupdate auf einem System mit fehlerhafter Firmware zu erzwingen, kann zu einem "No Boot"-Szenario führen, das ein physisches Flashen des BIOS-Chips oder einen Austausch des Motherboards erforderlich machen kann ^[3][14].

FAQ

Wird mein PC im Juni 2026 aufhören zu funktionieren?

Nein, es wird erwartet, dass Ihr Computer auch nach Ablauf der 2011 Secure Boot-Zertifikate normal weiterbootet und funktioniert ^[4][15][26]. Wenn die Zertifikate jedoch nicht aktualisiert werden, tritt das Gerät in einen verschlechterten Sicherheitszustand ein ^[10][15]. Das bedeutet, dass es möglicherweise keine kritischen Sicherheitsupdates mehr für den Windows Boot Manager oder andere Komponenten des frühen Bootvorgangs erhält, was es potenziell anfällig für neue Bedrohungen macht ^[15][18]. Im Laufe der Zeit könnten auch Kompatibilitätsprobleme mit neuerer Hardware, Firmware oder Betriebssystemversionen auftreten, die zum Laden die 2023-Zertifikate erfordern ^[4][10].

---

Betrifft dies Windows 10?

Ja, dieser Übergang betrifft Windows 10-Geräte, aber die Verfügbarkeit von Updates hängt von Ihrer spezifischen Version und dem Support-Status ab ^[4][26]. Microsoft hat angegeben, dass es die neuen 2023-Zertifikate für Windows 10 LTSC 2021 und für Geräte mit einer aktiven Extended Security Updates (ESU)-Lizenz bereitstellen wird ^[26][27]. Standardversionen von Windows 10, die ihr Support-Ende erreicht haben, erhalten diese Updates normalerweise nicht über Windows Update, was ihre Fähigkeit, Schutzmaßnahmen auf Boot-Ebene zu erhalten, schließlich einschränken kann ^[4].

---

Kann ich Secure Boot nicht einfach ausschalten?

Obwohl dies technisch möglich ist, wird das Deaktivieren von Secure Boot generell nicht empfohlen, da es das Risiko von Malware auf Boot-Ebene, wie dem BlackLotus UEFI-Bootkit, erheblich erhöht ^[16][18]. Darüber hinaus kann das Ausschalten von Secure Boot oder das Ändern bestimmter BIOS-Einstellungen manchmal aktive Zertifikatsvariablen löschen, was möglicherweise einen BitLocker-Wiederherstellungsschlüssel erfordert, um wieder Zugriff auf Ihre Daten zu erhalten ^[26][27]. Viele moderne Anwendungen und sicherheitsrelevante Software können ebenfalls fehlschlagen oder nicht korrekt funktionieren, wenn Secure Boot deaktiviert ist ^[4][10].

---

Woher weiß ich, ob meine Zertifikate aktualisiert wurden?

Es wird erwartet, dass die meisten Windows-Geräte diese Zertifikatsaktualisierungen automatisch über den Standardprozess von Windows Update erhalten ^[15][16]. Sie können Ihren Zertifikatsstatus überprüfen, indem Sie spezifische PowerShell-Befehle ausführen, um nach dem Vorhandensein des Microsoft Corporation KEK 2K CA 2023 oder Windows UEFI CA 2023 zu suchen ^[26][27]. Wenn diese 2023-Versionen in den Firmware-Variablen Ihres Systems vorhanden sind, ist normalerweise kein weiteres Handeln erforderlich ^[26].

---

Kosten diese neuen Zertifikate etwas?

Für den Erhalt der aktualisierten Zertifikate über Windows Update für unterstützte Systeme fallen keine direkten Kosten an ^[26][27]. Die 2023 Certificate Authorities (CAs) werden von Microsoft auch für die manuelle Verwaltung kostenlos zur Verfügung gestellt ^[26]. Wenn Ihr Gerät jedoch außerhalb seines offiziellen Servicezeitraums liegt und ein manuelles BIOS-Update benötigt, um die neue Zertifikatskette zu unterstützen, können für einige Benutzer Kosten im Zusammenhang mit professionellen Serviceleistungen oder Supportverträgen anfallen ^[26][27].

Zusammenfassung / Wichtige Erkenntnisse

Der Übergang von den 2011 Secure Boot-Zertifikaten zu den neuen 2023-Versionen ist ein kritisches Sicherheitsupdate für das globale Windows-Ökosystem ^[11][13]. Die meisten modernen Systeme verlassen sich auf diese digitalen Signaturen, um die Integrität des Bootvorgangs zu verifizieren, bevor das Betriebssystem geladen wird ^[11][16].

• Feste Fristen: Die ursprünglichen Microsoft-Zertifikate laufen ab Juni 2026 aus, die letzten Komponenten folgen im Oktober 2026 ^[13][15][18].
• Sicherheitsauswirkungen: Während betroffene PCs wahrscheinlich weiterhin booten werden, treten sie in einen verschlechterten Sicherheitszustand ein ^[3][4]. Diese Systeme verlieren die Fähigkeit, kritische Sicherheitsfixes für den Windows Boot Manager zu erhalten, was sie potenziell anfällig für Bootkit-Malware wie BlackLotus macht ^[1][16][26].
• Automatische Updates: Die meisten Benutzer, die Microsoft ihre Updates verwalten lassen, erhalten die neuen Zertifikate automatisch über die standardmäßigen kumulativen Update-Zyklen ^[2][14][15].
• Handlungsbedarf: Es wird empfohlen, über msinfo32 zu verifizieren, dass Secure Boot aktiviert ist, und alle verfügbaren OEM-Firmware-Updates zu installieren, da diese oft die notwendige Grundlage für die Zertifikatsaktualisierungen bilden ^[7][16][27].

---

Zertifikat	Ablaufdatum	Neue Version
Microsoft Corporation KEK CA 2011	Juni 2026	Microsoft Corporation KEK 2K CA 2023 [16][18]
Microsoft UEFI CA 2011	Juni 2026	Microsoft UEFI CA 2023 [15][18]
Microsoft Windows Production PCA 2011	Oktober 2026	Windows UEFI CA 2023 [1][15]

Wenn Sie unsicher sind, ist es meist günstiger, einmal jemanden zu fragen, als später einen Fehler zu beheben.

Quellen

^[1] Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog

^[2] Building a safer digital future, together

^[3] Windows' original Secure Boot certificates expire in June—here's wh...

^[4] Refreshing the root of trust: industry collaboration on Secure Boot certifica...

^[5] builders.intel.com

^[6] Introduction to Key Usage in Integrated Firmware Images

^[7] cdrdv2-public.intel.com

^[8] cdrdv2-public.intel.com

^[9] Firmware Interface Table Introduction - 1.6 - ID:599500 | Firmware Interface ...

^[10] INTEL-SA-00127

^[11] Intel® CSE Secure Boot (Type 0x10) Rules - 1.2 - ID:599500 | Firmware In...

^[12] Configuring Secure Boot — Intel® software for general purpose GPU capab...

^[13] community.intel.com

^[14] System Setup Guide — Intel® software for general purpose GPU capabiliti...

^[15] Windows Secure Boot certificate expiration and CA updates - Microsoft Support

^[16] Act now: Secure Boot certificates expire in June 2026 - Windows IT Pro Blog

^[17] Secure Boot playbook for certificates expiring in 2026

^[18] Secure Boot Certificate updates: Guidance for IT professionals and organizati...

^[19] How to verify the Windows Secure boot certificates have been updated. - Micro...

^[20] Secure Boot certificates have been updated but are not yet applied - Microsof...

^[21] Enable Secure Boot to protect systems from UEFI rootkit ‘CosmicStrand’ | Secu...

^[22] ASPEED AST2400 & AST2500 Security Vunerabilities (CVE-2019-6260) | Security &...

^[23] Offizieller Support | ASUS Deutschland

^[24] Offizieller Support | ASUS Deutschland

^[25] zentalk.asus.com

^[26] Secure Boot Transition FAQ | Dell US

^[27] Secure Boot Transition FAQ | Dell UK

^[28] MSI France

^[29] MSI Latinoamérica

^[30] How to Enable Secure Boot and TPM 2.0 on MSI AM4 Motherboards

^[31] storage-asset.msi.com

^[32] MSI USA

^[33] Enforcement of laws against polluters nearly non-existent in US, analysis finds

^[34] Windows 11 KB5077181 & KB5075941 cumulative updates released

^[35] Microsoft releases Windows 10 KB5075912 extended security update

^[36] Microsoft's February Patch fixes 6 zero-days - but some Windows users sh...

^[37] Microsoft rolls out new Secure Boot certificates before June expiration

^[38] Your PC's critical security certificates may be about to expire - how to...

^[39] February's Windows 11 update is causing startup problems for users

^[40] Microsoft warns Secure Boot certificates will expire soon — what to expect

^[41] Windows Secure Boot Certificates From 2011 Will Be Expiring Soon. What You Ne...

^[42] Microsoft is keeping Secure Boot alive with Windows updates

^[43] Microsoft is refreshing Secure Boot certificates to plug security holes befor...

^[44] Endlos-Neustarts: Neues Windows 11 Update legt Rechner lahm

^[45] Critical Microsoft bug from 2024 under exploitation

^[46] You

^[47] Microsoft is giving Windows 11’s security settings a big makeover

^[48] Windows 11 brings back classic taskbar features and users have thoughts

^[49] Windows 11 Notepad flaw let files execute silently via Markdown links

^[50] CISA flags critical Microsoft SCCM flaw as exploited in attacks

^[51] California's CCPA New Cybersecurity Audit Rules: Applicability Threshold...

^[52] Nancy Guthrie Abduction: Potential Subject Pic to Be Released by Law Enforcement

^[53] KB5007651 Keeps Reinstalling on Windows 11 — What It Is and How to Fix It

^[54] DHS has no immediate plans for sweeping city-specific immigration enforcement...

^[55] FAA steps up enforcement against reckless drone pilots

^[56] Microsoft Refreshes Secure Boot Certificates via Windows Update

^[57] Microsoft Patches Six Zero-Days, Two Critical Flaws

^[58] Windows 11 February 2026 Patch: KB5077181 and KB5075941 fix zero-days, shutdo...

^[59] Windows 10 users warned to upgrade now or risk a ‘degraded security sta...

^[60] Verify Windows UEFI CA 2023 Certificate with PowerShell

^[61] How to check if Windows 11 has applied the new Secure Boot 2023 certificates ...

^[62] Verify Windows 11’s New 2023 Secure Boot Certificates Installation

^[63] Windows Secure Boot 2026: Microsoft issues final warning over expiring certif...

^[64] Microsoft begins Secure Boot certificate update for Windows devices - Help Ne...

^[65] Microsoft Secure Boot Updates: New Certificates Coming Soon - Weidemann.tech

^[66] Windows 11 24H2/25H2: Update KB5077181 verursacht Boot-Schleife

^[67] PC Secure Boot Certificates Near Expiration: Check Now

^[68] Microsoft sets 2026 deadline for Secure Boot certificate expiration

^[69] Windows 11 adds a new secure mode that blocks sketchy apps and drivers

^[70] Windows 11 26H1 Latest Build – Technical Deep Dive into OS Build 28000.1575

^[71] Microsoft wants Windows 11 “secure by default," could allow only properl...

^[72] Alarm: Ihr Windows-PC bekommt ab Sommer echte Probleme – der Grund

^[73] Windows 11 Update KB5077181 verursacht Startprobleme: Das können Sie tun

^[74] Selbst prüfen: Hat Windows 11 die neuen Secure-Boot-Zertifikate bereits angew...

^[75] Windows-11-Februar-Update kann für Bootschleife sorgen

^[76] Windows Secure Boot Certificates Issued in 2011 Begin Expiring in June 2026

^[77] Microsoft Security Update Summary (10. Februar 2026)

^[78] Patchday: Windows 10/11 Updates (10. Februar 2026)

^[79] Exchange Server Sicherheitsupdates Februar 2026

^[80] KB5077181 Windows 11 25H2 / 24H2 [Manueller Download] Sicherheitsupdate Febru...

^[81] Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?

^[82] Windows 11 Update KB5077181 - DAP IT-Solutions GmbH

^[83] KB5075941 - Details, Issues, & Feedback - NinjaOne

^[84] Microsoft veröffentlicht Februar-Sicherheitsupdates mit sechs aktiv ausgenutz...

^[85] Windows 11 Februar-Update 2026: KB5077181 liefert Sicherheitsupdates, WLAN-Re...

^[86] Windows 11 February Update Triggers Startup Issues for Users

^[87] KB5077800 - Details, Issues, & Feedback - NinjaOne

^[88] Windows 11 Update KB5077181 Security and AI Features for 24H2 and 25H2 Versio...

^[89] Many Reddit users hit with "network security" block error on posts

^[90] Microsoft Patches Six Actively Exploited Windows 11 Zero-Day Vulnerabilities

^[91] Microsoft to Roll Out New Secure Boot Certificates to Keep Old Windows PCs Se...

^[92] Microsoft to Refresh Secure Boot Certificates for Windows 11 and 10 in March

^[93] Windows 10 : attention, votre PC pourrait devenir vulnérable si vous ratez ce...

^[94] windows event logs cheat sheet

^[95] How to Check If Your PC Has the New 2023 Secure Boot Certificates (Before Jun...

^[96] How To Access BIOS MSI Motherboard? - AEANET

^[97] OpenCore-and-UEFI-Secure-Boot/guide/Windows UEFI CA 2023.md at main · perez98...

^[98] Fortnite To Require Additional PC Security Features

^[99] KB5007651 Keeps Reinstalling on Windows 11 — What It Is and How to Fix It - S...

^[100] Secure Boot Certificate Changes in 2026: Guidance for RHEL Environments - Red...

^[101] Enable Secure Boot: Fix Secure Boot certificates expiration - TechDirectArchive

^[102] This free Windows 11 debloating script makes every PC better

^[103] Windows 11 has a hidden "Cross-Device Resume" feature most people d...

^[104] Secure Boot certificate changes in 2026: Guidance for RHEL environments | Red...

^[105] This app is Microsoft's apology to power users

^[106] From Trust to Trouble: The Supply Chain Implications of a Broken DBX

^[107] Was passiert, wenn die Secure Boot-Zertifikate unter Windows 11 und Windows 1...

^[108] Windows Patch Tuesday: Notepad RCE Fix, Secure Boot Update & Taskbar Prot...

^[109] SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass - Ubuntu Wiki

^[110] MOK Manager: what it is, what it

^[111] media.defense.gov

^[112] Chapter 22. Updating the Secure Boot Revocation List | Managing, monitoring, ...

^[113] Secure Boot: Enhancing Linux Security from Firmware to Kernel

^[114] Unified Extensible Firmware Interface/Secure Boot - ArchWiki

^[115] The Perils of Updating UEFI Secure Boot Revocation List

^[116] Thoughts dereferenced from the scratchpad noise. | Automating Firmware Secur...

^[117] GRUB2 Secure Boot Bypass 2021 | Ubuntu

^[118] How to boot Linux using UEFI with Secure Boot ? — Get Intimate With Cyb...

^[119] MSI Global English Forum

^[120] MSI Global English Forum

^[121] MSI Endanwender-Forum DE

^[122] Updating Windows Boot Manager and WinPE with the Windows UEFI CA 2023 Certifi...

^[123] media.defense.gov

^[124] XFN 1.1 profile

^[125] fonts.googleapis.com

^[126] BleepingComputer (@[email protected]) - Infosec Exchange

^[127] Windows Central

^[128] Windows Central (@WindowsCentral) on Flipboard

^[129] Windows Central (@windowscentral.com)