Neue Secure Boot 2023 Zertifikate (CA) ab Juni 2026

Datum: 17 Apr. 2026

NEUE SECURE BOOT 2023 ZERTIFIKATE (CA) AB JUNI 2026

Sicherer Start (UEFI Secure Boot) basiert auf einer in der UEFI-Firmware hinterlegten Sicherheitsrichtlinie, die festlegt, welcher vor-OS-Code ausgeführt werden darf. Diese Richtlinie wird über authentifizierte UEFI-Variablen verwaltet und ist durch eine hierarchische Public-Key-Infrastruktur abgesichert. An der Spitze steht der Plattformschlüssel (PK), der den Systembesitz definiert und typischerweise vom jeweiligen Mainboard Hersteller gesetzt wird. Der PK autorisiert Änderungen an den Key Enrollment Keys (KEK), welche als Vertrauensanker für Signatur- und Sperrlisten dienen (z. B. Microsoft-KEK und OEM-KEKs).

Die eigentliche Codevalidierung erfolgt über zwei zentrale Datenbanken:

  • DB (Allowed Signature Database) enthält Zertifikate, Hashes oder Signaturen von EFI-Images, die zur Ausführung zugelassen sind.
  • DBX (Forbidden Signature Database) enthält explizit widerrufene Zertifikate oder Hashes kompromittierter Komponenten

Während der Boot-Phase überprüft die Firmware jedes zu ladende EFI-Modul (z. B. UEFI-Treiber, Option ROMs, Bootloader) per kryptographischer Signaturprüfung gegen DB und DBX. Ein Image wird nur ausgeführt, wenn es gültig signiert ist und nicht in der DBX enthalten ist. Aktualisierungen von DB und DBX dürfen ausschließlich von Entitäten vorgenommen werden, die über einen gültigen KEK verfügen.

Dadurch wird sichergestellt, dass nur autorisierter Code vor der Übergabe der Kontrolle an den OS-Bootloader ausgeführt werden kann und bekannte kompromittierte Komponenten zuverlässig blockiert bleiben.

Warum werden Microsoft Secure Boot 2011 CA’s nun durch Microsoft Secure Boot 2023 CA’s ersetzt?
Die bisher und noch gültigen 2011 CA’s wurden erstmals im Jahr 2011/2012 mit Microsoft Windows 8 eingeführt und sind die momentan noch gültigen Zertifikate bis Juni 2026 (Microsoft Windows Production PCA 2011 bis Oktober 2026)
Aufgrund des nahenden Ablaufdatums der bisherigen 2011 CA’s werden diese sukzessiv durch neue Microsoft 2023 CA’s abgelöst.

Nähere Informationen und Hintergründe finden Sie auf der offiziellen Microsoft Website zum Thema 2023 CA’s:
https://support.microsoft.com/de-de/topic/ablauf-des-windows-secure-boot-zertifikats-und-updatesder-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

Fragen & Antworten zu den neuen Secure Boot Zertifikaten

Für weitere Informationen haben wir für Sie ein Q&A erstellt und werden dieses weiterhin mit neuen Informationen ergänzen und aktuell halten:

Wie bekomme ich diese neuen 2023 Zertifikate?

Grundsätzlich bzw. primär werden die neuen Microsoft 2023 CA’s über die automatischen Microsoft Windows Updates zur Verfügung gestellt, ausgerollt und in die UEFI-Firmware automatisch implementiert.

Booten Systeme mit alten 2011 CA’s auch nach dem Ablaufdatum im Juni 2026?

Ja, sowohl Windows als auch Linux OS Systeme booten zukünftig noch mit den abgelaufenen 2011 CA’s. Jedoch erhalten diese Systeme keinen neuen Sicherheitsschutz mehr für den frühen Startprozess, einschließlich Updates für Windows-Start-Manager, Datenbanken für den sicheren Start, Sperrlisten oder Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene.

Warum schlägt die automatische Installation der 2023 CA’s per Microsoft Windows Update fehl (z.B. Windows Event Log Error usw.)?

Microsoft verbessert den Update Prozess über die automatischen Windows Updates kontinuierlich um immer mehr Systeme/Konfigurationen mit 2023 CA’s automatisch auszustatten zu können. Sollte daher Ihr System/Konfiguration noch nicht in der Lage sein, die 2023 CA’s automatisiert zu implementieren, haben Sie noch etwas Geduld und prüfen dies nach einiger Zeit erneut.

Mit welchen Microsoft Windows Bordmitteln lässt sich der aktuelle Stand eines Systems in Bezug auf 2023 CA’s prüfen?

Unter Windows-Sicherheit > Gerätesicherheit > Sicheren Start ist der aktuelle Status der 2023 CA’s Implementierung dargestellt.

Wo finde ich diese Zertifikate im BIOS/UEFI Firmware?

Bei den meisten Mainboards ist dieser Punkt (sofern verfügbar) im BIOS unter „Security“ oder „Boot“ aufgeführt:
-> Secure Boot Configuration
-> Secure Boot Mode -> von Standard auf Custom setzen
-> Unter dem Punkt „Key Management“ werden alle relevanten Secure Boot Variablen angezeigt

Sind Server Konfigurationen/Hardware auch davon betroffen?

Grundsätzlich ja, allerdings wurde/wird der Großteil aller Server Systeme mit deaktiviertem Secure Boot ausgeliefert und betrieben. Daher sind Server Mainboards nur bedingt von der Umstellung auf die neuen Microsoft Secure Boot 2023 CA’s betroffen. Zu beachten ist allerdings das eine automatische Implementierung im Serverbereich nicht möglich ist, hierzu ist falls erforderlich ein BIOS-Update mit
bereits integrierten 2023 CA’s seitens Server Mainboard Hersteller notwendig.
Nähere Informationen dazu:
https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-serversecure-boot-playbook-for-certificates-expiring-in-2026/4495789

Betreffen die neuen Secure Boot 2023 CA’s auch Linux OS Systeme?

Ja, sofern im Mainboard BIOS/UEFI Firmware „Secure Boot“ aktiviert ist.

Welche Optionen habe ich, sollte die automatische Implementierung über Windows Updates wider Erwarten auch bis Juni 2026 nicht möglich sein?

Grundlegend stehen 2 mögliche Optionen/Workarounds zur Verfügung:
1. Manuelles triggern des Prozesses zur Implementierung der 2023 CA’s in die UEFI-Firmware -> siehe Anleitung „Manuelle Vorgehensweise/Workaround“
2. Installation eines BIOS-Updates welches seitens Mainboard Hersteller bereits über integrierte 2023 CA’s verfügt -> siehe Sektion BIOS Update 2023 CA’s

Manuelle Vorgehensweise/Workaround zur händischen Implementierung der 2023 CA’s:

Bitte folgende Schritte durchführen:

  1. Windows Updates durchführen bis keine weiteren Updates vorgeschlagen werden.
  2. In der Registry -> HKLM\System\CurrentControlSet\Control\SecureBoot\ den Wert von AvailableUpdates von 0 auf 5944 setzen. (Der Wert 5944 veranlasst Windows den Rollout der neuen benötigten 2023 CA’s manuell zu starten)
  3. Das System 2x rebooten.
  4. Die Windows Aufgabenplanung öffnen-> Aufgabenplanungsbibliothek-> Microsoft\Windows\PI-> Secure-Boot-Update starten.
  5. Unter HKLM\System\CurrentControlSet\Control\SecureBoot\Servicing den Eintrag UEFICA2023Status beobachten, hier sollte „InProgress“ erscheinen-> der Prozess läuft bzw. ist aktiv (dies kann einige Zeit in Anspruch nehmen) -> nach kurzer Zeit erscheint nun die Meldung „Updated“.
  6. Die 2023 CA’s sind nun in die UEFI-Mainboard Firmware implementiert.

BIOS-Updates 2023 CA’s
Zugangsdaten:
User = public
Passwort= public

(Wir arbeiten kontinuierlich an der Bereitstellung von Bios Updates diverser Mainboard Hersteller mit enthaltenen 2023 CA’s. Aufgrund des Umfangs und der großen Produktportfolios und Vielfalt kann die Bereitstellung durch den Mainboard Hersteller jedoch verzögert erfolgen. Bitte haben Sie hierfür Verständnis)

Wir beraten Ihr Unternehmen gern!
Kontaktieren Sie uns jetzt kostenfrei und unverbindlich
unser Expertenteam hilft Ihnen jederzeit gern und kompetent weiter.
Sie erreichen uns telefonisch Montag – Freitag von 08:30 Uhr bis 17:00 Uhr
oder 24/7 bequem per Mail oder über unser Kontaktformular.
Teilen: