Apps & Mobile Entwicklung
Probleme mit älteren Systemen: Microsoft stoppt teils Rollout von Secure-Boot-Zertifikaten

Microsoft hat Firmware- und Kompatibilitätsprobleme bei einigen Windows-11-PCs im Zusammenhang mit neuen Secure-Boot-Zertifikaten bestätigt und deren Verteilung vorübergehend gestoppt. Das Unternehmen arbeitet mit PC-Herstellern an Lösungen; Nutzer sollten Secure Boot aus Sicherheitsgründen dennoch nicht deaktivieren.
Austausch von Zertifikaten erfolgt nicht planmäßig
In einem aktualisierten Support-Dokument hat Microsoft bestätigt, dass die Einführung der neuen Secure-Boot-Zertifikate auf bestimmten Windows-11-Systemen vorerst pausiert wurde. Ursache sind bekannte Probleme mit der Firmware einzelner Geräte sowie weitere Kompatibilitätskonflikte, die eine fehlerfreie Installation derzeit verhindern können. Betroffene Nutzer sollen künftig einen entsprechenden Hinweis in der Windows-Sicherheitsanwendung erhalten.
Den Hintergrund der Probleme bildet das Auslaufen der bisherigen Secure-Boot-Zertifikate aus dem Jahr 2011, die Microsoft schrittweise durch Zertifikate aus dem Jahr 2023 ersetzen will. Grundsätzlich sollen alle kompatiblen Geräte die neuen Zertifikate automatisch über das Windows-Update erhalten. In der Praxis verläuft die Einführung jedoch nicht überall reibungslos. Selbst einige offiziell unterstützte Systeme erhalten das Update derzeit nicht, wenn bestimmte Firmware-Versionen oder Konfigurationen die Installation verhindern. Die Probleme treten vor allem bei älteren Geräten oder Systemen mit fehlerhafter beziehungsweise veralteter UEFI-Firmware auf. In einigen Fällen sollen Nutzer zudem Secure Boot unbewusst deaktiviert haben.
Gefahr erkannt, aber nicht gebannt
Laut einem Bericht von Windows Latest haben inzwischen auch mehrere PC-Hersteller die Probleme bestätigt. HP erklärte demnach, dass zwar aktualisierte BIOS-Versionen zur Vorbereitung auf die Umstellung verteilt wurden, einige Geräte während des Vorgangs jedoch in einem BitLocker-Bildschirm hängen bleiben. In diesen Fällen lassen sich die neuen Secure-Boot-Zertifikate nicht korrekt installieren. Gemeinsam mit den Herstellern hat Microsoft weitere Geräte und Firmware-Versionen identifiziert, bei denen die Aktualisierung Probleme verursachen könnte, nennt hierzu jedoch keine konkreten Details. Für diese Systeme wurde die Zertifikatserneuerung daher vorerst blockiert. Erst wenn die jeweiligen Hersteller eine aktualisierte Firmware bereitstellen, soll die Verteilung wieder aufgenommen werden.
Auch bei älteren Systemen kann es zu Problemen kommen. Zwar bleibt Secure Boot dort weiterhin aktiviert, die neuen Zertifikate werden jedoch nicht dauerhaft installiert, weil der Hersteller keine kompatible Firmware mehr bereitstellt. Da diese Geräte auch keine BIOS- oder UEFI-Updates mehr erhalten, kann Microsoft die neuen Secure-Boot-Zertifikate für solche Systeme ebenfalls nicht ausrollen.
Secure Boot nicht deaktivieren
Die Secure-Boot-Zertifikate aus dem Jahr 2023 sind erforderlich, damit künftig aktualisierte Versionen der sogenannten Forbidden Signature Database (DBX) sicher verarbeitet werden können. Diese Datenbank enthält kompromittierte oder unsichere Bootloader, die beim Systemstart blockiert werden sollen. Ohne die neuen Zertifikate lassen sich entsprechende Sicherheitslisten künftig nicht mehr zuverlässig aktualisieren.
Microsoft betont zudem ausdrücklich, dass Nutzer Secure Boot nicht deaktivieren sollten, wenn das Zertifikatsupdate noch nicht installiert wurde. Zwar fehlt in diesem Fall die aktuelle Zertifikatsbasis, ein aktiviertes Secure Boot bietet jedoch weiterhin einen deutlich höheren Schutz vor Schadsoftware während des Systemstarts als ein vollständig deaktivierter Schutzmechanismus.