17. Februar 2026
Microsoft stellt klar: Windows-PCs booten auch nach Juni 2026 weiter. Dennoch droht das Aus für wichtige Sicherheits-Patches im Boot-Prozess.
Der Vertrauensanker moderner Windows-Systeme steuert auf ein wichtiges Fristende zu: Im Jahr 2026 laufen zentrale kryptografische Zertifikate ab, die für den Secure-Boot-Prozess essenziell sind. Entgegen anfänglicher Befürchtungen bedeutet dies allerdings nicht, dass betroffene Rechner ab diesem Tag den Dienst verweigern.
Systeme ohne aktualisierte Zertifikate werden laut Microsoft weiterhin normal starten und funktionieren. Allerdings können sie künftig keine neuen Sicherheitsupdates mehr erhalten, die den frühen Boot-Prozess betreffen.
Gestaffelte Ablauffristen bis Oktober
Secure Boot nutzt im UEFI hinterlegte Zertifikate, um die Integrität der Boot-Komponenten zu prüfen. Da diese eine begrenzte Gültigkeit haben, verliert die Firmware bald die Basis, um neu signierte Boot-Komponenten als vertrauenswürdig einzustufen. Die Fristen sind dabei gestaffelt: Während die Microsoft Corporation Uefi CA 2011 bereits am 13. Juni 2026 abläuft, folgt die Microsoft Windows Production PCA 2011 am 8. Oktober 2026.
Dies betrifft insbesondere Updates für den Windows Boot Manager sowie wichtige Mitigationsmassnahmen gegen neu entdeckte Schwachstellen wie das Blacklotus-Bootkit. Ohne den Übergang auf die neuen 2023-Zertifikate bleiben Rechner auf dem alten Sicherheitsstand stehen, da das System neue, sicherere Versionen der Bootloader nicht mehr validieren kann.
Roll-out und Sonderfälle bei Dual-Boot
Microsoft hat bereits mit der Verteilung der Nachfolger-Zertifikate wie der Microsoft Uefi CA 2023 über Windows Update begonnen. Viele seit 2024 produzierte Geräte enthalten diese bereits ab Werk. Während der Prozess bei Standard-Installationen meist im Hintergrund abläuft, benötigen Systeme mit Dual-Boot-Konfigurationen oder ältere PCs mit Legacy-Resten unter Umständen manuelle Aufmerksamkeit.
Für IT-Administratoren in Unternehmensumgebungen empfiehlt MIcrosoft bei Bedarf eine manuelle Aktivierung über die Registry. Unter dem Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot kann der Wert AvailableUpdates auf einen Wert ungleich Null gesetzt werden. Endnutzer sollten primär sicherstellen, dass Secure Boot im UEFI aktiv ist und aktuelle Firmware-Updates der Hardware-Hersteller installiert sind.
Quelle: Windows Central
