Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab. Damit Systeme mit Secure Boot startbar bleiben, müssen sie bis dahin aktualisierte Zertifikate erhalten. „Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor“, warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.

In einem Blog-Beitrag erörtert Microsoft die Folgen des Zertifikatsablaufs und gibt Hinweise, wie Admins sich unter Windows behelfen können. Zusammenfassend eröffnet Microsoft: „Die Microsoft-Zertifikate, die in Secure Boot verwendet werden, sind die Vertrauensbasis für die Sicherheit des Betriebssystems, und alle laufen ab Juni 2026 aus. Um automatisch und rechtzeitig Updates für neue Zertifikate für unterstützte Windows-Systeme zu erhalten, müssen Sie Microsoft die Verwaltung Ihrer Windows-Updates überlassen, zu denen auch Secure Boot gehört.“ Für Microsoft ist daher auch eine enge Zusammenarbeit mit Original Equipment Manufacturers (OEMs) wichtig, die Secure-Boot-Firmware-Updates verteilen sollen.

Insbesondere Firmenkunden sollen sich vorbereiten

Wer noch keine Option zur Verteilung der aktualisierten Zertifikate gewählt hat, sollte damit nun damit anfangen, rät Microsoft. Secure Boot soll verhindern, dass Schadsoftware bereits früh im Bootvorgang von Rechnern startet. Es ist mit dem UEFI-Firmware-Signierprozess verknüpft. Secure Boot setzt dabei auf kryptografische Schlüssel, die als Certificate Authorities (CA) bekannt sind, um zu verifizieren, dass Firmware-Module aus vertrauenswürdigen Quellen stammen. Im Juni 2026 fangen die Secure-Boot-Zertifikate – die Bestandteil des Windows-Systems sind – nach 15 Jahren an, auszulaufen. Windows-Geräte benötigen daher neue Zertifikate, um weiter zu funktionieren und geschützt zu sein, erklärt Microsoft.

Betroffen sind physische und virtuelle Maschinen mit unterstützten Versionen von Windows 10, Windows 11 und Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2, mithin alle Systeme, die seit 2012 veröffentlicht wurden, einschließlich der Long-Term-Servicing-Channels (LTSC). Neuere Copilot+-PCs, die seit 2025 herausgekommen sind, haben bereits neuere Zertifikate.

Zu den betroffenen Systemen gehört auch macOS – das liege jedoch außerhalb des Microsoft-Support-Bereichs. Für Dual-Boot-Systeme mit Linux und Windows soll das Windows-Betriebssystem die Zertifikate aktualisieren, auf die Linux angewiesen ist.

Microsoft listet auf, dass das Zertifikat „Microsoft Corporation KEK CA 2011“ im Juni 2026 ausläuft und durch „Microsoft Corporation KEK 2K CA 2023“ ersetzt wird; es dient zum Signieren von DB (Datenbank erlaubter Signaturen) und DBX (Datenbank verbotener Signaturen).

Zudem ist kommenden Juni „Microsoft Corporation UEFI CA 2011 (oder Dritthersteller-UEFI-CA)“ am Lebensende angelangt, wofür Microsoft dann „Microsoft Corporation UEFI CA 2023“ respektive „Microsoft Option ROM UEFI CA 2023“ zum Austausch bereithält. Das erste Zertifikat signiert Drittanbieter-Betriebssysteme und Hardware-Treiber-Bestandteile, das letzte Zertifikat hingegen Dritthersteller-Option-ROMs. Schließlich läuft im Oktober 2026 das Zertifikat „Microsoft Windows Production PCA 2011“ aus, was durch „Windows UEFI CA 2023“ ersetzt wird; es signiert den Windows-Bootloader sowie Boot-Komponenten.

Folgen der ablaufenden Zertifikate

Die CAs stellen die Integrität der Bootsequenz sicher, erklärt Microsoft weiter. Wenn diese CAs ablaufen, erhalten die Systeme keine Sicherheitskorrekturen mehr für den Windows-Boot-Manager und die Secure-Boot-Komponenten. „Kompromittierte Sicherheit beim Startvorgang bedroht die gesamte Sicherheit von betroffenen Windows-Geräten, insbesondere durch Bootkit-Malware. Solche Malware ist von Antivirensoftware schwer oder gar nicht zu erkennen. Als Beispiel kann selbst heute noch der ungesicherte Bootprozess als Angriffsvektor für das Blacklotus-Bootkit (CVE-2023-24352) dienen“, führen die Entwickler aus.

„Jedes Windows-System mit aktiviertem Secure Boot nutzen dieselben drei Zertifikate zur Unterstützung von Drittanbieter-Hardware und dem Windows-Ökosystem“, schreibt Microsoft weiter. Sofern physische Geräte und VMs nicht vorbereitet werden, verlieren diese die Fähigkeit, Secure-Boot-Sicherheitsupdates zu installieren und Drittanbieter-Software zu vertrauen, die mit neuen Zertifikaten nach dem Juni 2026 signiert wurden sowie Sicherheitsupdates für den Windows-Boot-Manager ab dem Oktober 2026 zu erhalten. Um das zu verhindern, müssen IT-Verantwortliche das gesamte Windows-Ökosystem mit Zertifikaten aktualisieren, die auf das Jahr 2023 oder neuer datieren.

Update vor dem Update

Microsoft ist wichtig zu betonen, dass Betroffene zunächst nach der jüngsten Firmware ihres OEM-Anbieters – also vom Rechner- oder Mainboard-Hersteller – suchen und diese anwenden sollen, bevor sie neue Zertifikate auf ihren Windows-Systemen anwenden. Im sicheren Bootvorgang seien die Firmware-Updates der OEMs Voraussetzung für korrekt angewendete Windows-Secure-Boot-Updates. Microsoft unterstützt dafür lediglich Systeme, die noch im Support-Zyklus sind – nach Oktober 2025 sollen Windows-10-Nutzer daher über die Beschaffung von Extended Security Updates (ESU) nachdenken.

Einen genauen Zeitplan nennt Microsoft nicht, sondern erklärt, dass „wir die Aktualisierung der Secure-Boot-Zertifikate als Teil unserer jüngsten kumulativen Updates“ erwarten. Den geringsten Aufwand mache daher, Microsoft die Verwaltung der Windows-Updates einschließlich der Secure-Boot-Aktualisierungen zu überlassen. Im Blog-Beitrag erörtert Microsoft schließlich, wie Firmenkunden mit unterschiedlichen Lösungen für die Verwaltung von Windows-Updates vorgehen können.

Im vergangenen Jahr hatte Microsoft mit dem August-Update zahlreiche Bootloader mit einem DBX-Update gesperrt. Betroffen waren viele Linux-Distributionen, die daraufhin nicht mehr starteten. Es bleibt zu hoffen, dass mit einem Jahr Vorlauf nun ein ähnliches Szenario nicht erneut eintritt.

(dmk)