{"id":8965,"date":"2026-04-17T10:37:35","date_gmt":"2026-04-17T08:37:35","guid":{"rendered":"https:\/\/www.extracomputer.de\/ratgeber\/?p=8965"},"modified":"2026-04-17T11:24:10","modified_gmt":"2026-04-17T09:24:10","slug":"neue-secure-boot-2023-zertifikate-ca-ab-juni-2026","status":"publish","type":"post","link":"https:\/\/www.extracomputer.de\/ratgeber\/neue-secure-boot-2023-zertifikate-ca-ab-juni-2026\/","title":{"rendered":"Neue Secure Boot 2023 Zertifikate (CA) ab Juni 2026"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"869\" height=\"500\" src=\"https:\/\/os.extracomputer.de\/b10256\/ratgeber\/wp-content\/uploads\/2026\/04\/neue-secure-boot-2023-zertifikate.webp\" alt=\"NEUE SECURE BOOT 2023 ZERTIFIKATE (CA) AB JUNI 2026\" class=\"wp-image-8970\" srcset=\"https:\/\/os.extracomputer.de\/b10256\/ratgeber\/wp-content\/uploads\/2026\/04\/neue-secure-boot-2023-zertifikate-300x173.webp 300w, https:\/\/os.extracomputer.de\/b10256\/ratgeber\/wp-content\/uploads\/2026\/04\/neue-secure-boot-2023-zertifikate-768x442.webp 768w, https:\/\/os.extracomputer.de\/b10256\/ratgeber\/wp-content\/uploads\/2026\/04\/neue-secure-boot-2023-zertifikate-600x345.webp 600w, https:\/\/os.extracomputer.de\/b10256\/ratgeber\/wp-content\/uploads\/2026\/04\/neue-secure-boot-2023-zertifikate.webp 869w\" sizes=\"auto, (max-width: 869px) 100vw, 869px\" \/><\/figure>\n\n\n\n<p>Sicherer Start (UEFI Secure Boot) basiert auf einer in der UEFI-Firmware hinterlegten Sicherheitsrichtlinie, die festlegt, welcher vor-OS-Code ausgef\u00fchrt werden darf. Diese Richtlinie wird \u00fcber <strong>authentifizierte UEFI-Variablen<\/strong> verwaltet und ist durch eine hierarchische Public-Key-Infrastruktur abgesichert. An der Spitze steht der <strong>Plattformschl\u00fcssel (PK)<\/strong>, der den Systembesitz definiert und typischerweise vom jeweiligen Mainboard Hersteller gesetzt wird. Der PK autorisiert \u00c4nderungen an den <strong>Key Enrollment Keys (KEK)<\/strong>, welche als Vertrauensanker f\u00fcr Signatur- und Sperrlisten dienen (z.\u202fB. Microsoft-KEK und OEM-KEKs).<\/p>\n\n\n\n<p>Die eigentliche Codevalidierung erfolgt \u00fcber zwei zentrale Datenbanken:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DB (Allowed Signature Database)<\/strong> enth\u00e4lt Zertifikate, Hashes oder Signaturen von EFI-Images, die zur Ausf\u00fchrung zugelassen sind.<\/li>\n\n\n\n<li><strong>DBX (Forbidden Signature Database)<\/strong> enth\u00e4lt explizit widerrufene Zertifikate oder Hashes kompromittierter Komponenten<\/li>\n<\/ul>\n\n\n\n<p>W\u00e4hrend der Boot-Phase \u00fcberpr\u00fcft die Firmware jedes zu ladende EFI-Modul (z.\u202fB. UEFI-Treiber, Option ROMs, Bootloader) per kryptographischer Signaturpr\u00fcfung gegen DB und DBX. Ein Image wird nur ausgef\u00fchrt, wenn es g\u00fcltig signiert ist und nicht in der DBX enthalten ist. Aktualisierungen von DB und DBX d\u00fcrfen ausschlie\u00dflich von Entit\u00e4ten vorgenommen werden, die \u00fcber einen g\u00fcltigen KEK verf\u00fcgen.<\/p>\n\n\n\n<p>Dadurch wird sichergestellt, dass nur autorisierter Code vor der \u00dcbergabe der Kontrolle an den OS-Bootloader ausgef\u00fchrt werden kann und bekannte kompromittierte Komponenten zuverl\u00e4ssig blockiert bleiben.<\/p>\n\n\n\n<p>Warum werden Microsoft Secure Boot 2011 CA&#8217;s nun durch Microsoft Secure Boot 2023 CA&#8217;s ersetzt?<br>Die bisher und noch g\u00fcltigen 2011 CA&#8217;s wurden erstmals im Jahr 2011\/2012 mit Microsoft Windows 8 eingef\u00fchrt und sind die momentan noch g\u00fcltigen Zertifikate bis Juni 2026 (Microsoft Windows Production PCA 2011 bis Oktober 2026)<br>Aufgrund des nahenden Ablaufdatums der bisherigen 2011 CA&#8217;s werden diese sukzessiv durch neue Microsoft 2023 CA&#8217;s abgel\u00f6st.<\/p>\n\n\n\n<p>N\u00e4here Informationen und Hintergr\u00fcnde finden Sie auf der offiziellen Microsoft Website zum Thema 2023 CA\u2019s: <br><a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/ablauf-des-windows-secure-boot-zertifikats-und-updatesder-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e\" target=\"_blank\" rel=\"noopener\">https:\/\/support.microsoft.com\/de-de\/topic\/ablauf-des-windows-secure-boot-zertifikats-und-updatesder-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fragen &amp; Antworten zu den neuen Secure Boot Zertifikaten<\/strong><\/h2>\n\n\n\n<p>F\u00fcr weitere Informationen haben wir f\u00fcr Sie ein Q&amp;A erstellt und werden dieses weiterhin mit neuen Informationen erg\u00e4nzen und aktuell halten:<\/p>\n\n\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1776413224513\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Wie bekomme ich diese neuen 2023 Zertifikate?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Grunds\u00e4tzlich bzw. prim\u00e4r werden die neuen Microsoft 2023 CA&#8217;s \u00fcber die automatischen Microsoft Windows Updates zur Verf\u00fcgung gestellt, ausgerollt und in die UEFI-Firmware automatisch implementiert.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413405750\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Booten Systeme mit alten 2011 CA&#8217;s auch nach dem Ablaufdatum im Juni 2026?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Ja, sowohl Windows als auch Linux OS Systeme booten zuk\u00fcnftig noch mit den abgelaufenen 2011 CA&#8217;s. Jedoch erhalten diese Systeme keinen neuen  Sicherheitsschutz mehr f\u00fcr den fr\u00fchen Startprozess, einschlie\u00dflich Updates f\u00fcr Windows-Start-Manager, Datenbanken f\u00fcr den sicheren Start, Sperrlisten oder Risikominderungen f\u00fcr neu entdeckte Sicherheitsrisiken auf Startebene.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413457015\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Warum schl\u00e4gt die automatische Installation der 2023 CA&#8217;s per Microsoft Windows Update fehl (z.B. Windows Event Log Error usw.)?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Microsoft verbessert den Update Prozess \u00fcber die automatischen Windows Updates kontinuierlich um immer mehr Systeme\/Konfigurationen mit 2023 CA&#8217;s automatisch auszustatten zu k\u00f6nnen. Sollte daher Ihr System\/Konfiguration noch nicht in der Lage sein, die 2023 CA&#8217;s automatisiert zu implementieren, haben Sie noch etwas Geduld und pr\u00fcfen dies nach einiger Zeit erneut.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413492519\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Mit welchen Microsoft Windows Bordmitteln l\u00e4sst sich der aktuelle Stand eines Systems in Bezug auf 2023 CA&#8217;s pr\u00fcfen?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Unter Windows-Sicherheit &gt; Ger\u00e4tesicherheit &gt; Sicheren Start ist der aktuelle Status der 2023 CA&#8217;s Implementierung dargestellt.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413527279\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Wo finde ich diese Zertifikate im BIOS\/UEFI Firmware?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Bei den meisten Mainboards ist dieser Punkt (sofern verf\u00fcgbar) im BIOS unter &#8222;Security&#8220; oder &#8222;Boot&#8220; aufgef\u00fchrt:<br \/>-&gt; Secure Boot Configuration<br \/>-&gt; Secure Boot Mode -&gt; von Standard auf Custom setzen<br \/>-&gt; Unter dem Punkt &#8222;Key Management&#8220; werden alle relevanten Secure Boot Variablen angezeigt<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413564886\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Sind Server Konfigurationen\/Hardware auch davon betroffen?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Grunds\u00e4tzlich ja, allerdings wurde\/wird der Gro\u00dfteil aller Server Systeme mit deaktiviertem Secure Boot ausgeliefert und betrieben. Daher sind Server Mainboards nur bedingt von der Umstellung auf die neuen Microsoft Secure Boot 2023 CA&#8217;s betroffen. Zu beachten ist allerdings das eine automatische Implementierung im Serverbereich nicht m\u00f6glich ist, hierzu ist falls erforderlich ein BIOS-Update mit<br \/>bereits integrierten 2023 CA\u2019s seitens Server Mainboard Hersteller notwendig.<br \/>N\u00e4here Informationen dazu:<br \/>https:\/\/techcommunity.microsoft.com\/blog\/windowsservernewsandbestpractices\/windows-serversecure-boot-playbook-for-certificates-expiring-in-2026\/4495789<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413656040\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Betreffen die neuen Secure Boot 2023 CA&#8217;s auch Linux OS Systeme?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Ja, sofern im Mainboard BIOS\/UEFI Firmware &#8222;Secure Boot&#8220; aktiviert ist.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1776413677566\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Welche Optionen habe ich, sollte die automatische Implementierung \u00fcber Windows Updates wider Erwarten auch bis Juni 2026 nicht m\u00f6glich sein?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Grundlegend stehen 2 m\u00f6gliche Optionen\/Workarounds zur Verf\u00fcgung:<br \/>1. Manuelles triggern des Prozesses zur Implementierung der 2023 CA&#8217;s in die UEFI-Firmware -&gt; siehe Anleitung &#8222;Manuelle Vorgehensweise\/Workaround&#8220;<br \/>2. Installation eines BIOS-Updates welches seitens Mainboard Hersteller bereits \u00fcber integrierte 2023 CA&#8217;s verf\u00fcgt -&gt; siehe Sektion BIOS Update 2023 CA&#8217;s<\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n<h3 class=\"wp-block-heading\">Manuelle Vorgehensweise\/Workaround zur h\u00e4ndischen Implementierung der 2023 CA\u2019s:<\/h3>\n\n\n\n<p>Bitte folgende Schritte durchf\u00fchren:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Windows Updates durchf\u00fchren bis keine weiteren Updates vorgeschlagen werden.<\/li>\n\n\n\n<li>In der Registry -> HKLM\\System\\CurrentControlSet\\Control\\SecureBoot\\ den Wert von AvailableUpdates von 0 auf 5944 setzen. (Der Wert 5944 veranlasst Windows den Rollout der neuen ben\u00f6tigten 2023 CA\u2019s manuell zu starten)<\/li>\n\n\n\n<li>Das System 2x rebooten.<\/li>\n\n\n\n<li>Die Windows Aufgabenplanung \u00f6ffnen-> Aufgabenplanungsbibliothek-> Microsoft\\Windows\\PI-> Secure-Boot-Update starten.<\/li>\n\n\n\n<li>Unter HKLM\\System\\CurrentControlSet\\Control\\SecureBoot\\Servicing den Eintrag UEFICA2023Status beobachten, hier sollte \u201eInProgress\u201c erscheinen-> der Prozess l\u00e4uft bzw. ist aktiv (dies kann einige Zeit in Anspruch nehmen) -> nach kurzer Zeit erscheint nun die Meldung \u201eUpdated\u201c.<\/li>\n\n\n\n<li>Die 2023 CA\u2019s sind nun in die UEFI-Mainboard Firmware implementiert.<\/li>\n<\/ol>\n\n\n\n<p><i class=\"fas fa-link\"><\/i> <a href=\"https:\/\/files.extracomputer.de\/download\/exone\/BIOS%20Updates%202023%20CAs\/\" target=\"_blank\" rel=\"noreferrer noopener nofollow\"><strong>BIOS-Updates 2023 CA\u2019s <\/strong><\/a>  <br>Zugangsdaten: <br>User = public <br>Passwort= public<\/p>\n\n\n\n<p>(Wir arbeiten kontinuierlich an der Bereitstellung von Bios Updates diverser Mainboard Hersteller mit enthaltenen 2023 CA\u2019s. Aufgrund des Umfangs und der gro\u00dfen Produktportfolios und Vielfalt kann die Bereitstellung durch den Mainboard Hersteller jedoch verz\u00f6gert erfolgen. Bitte haben Sie hierf\u00fcr Verst\u00e4ndnis)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherer Start (UEFI Secure Boot) basiert auf einer in der UEFI-Firmware hinterlegten Sicherheitsrichtlinie, die festlegt, welcher vor-OS-Code ausgef\u00fchrt werden darf. Diese Richtlinie wird \u00fcber authentifizierte UEFI-Variablen verwaltet und ist durch eine hierarchische Public-Key-Infrastruktur abgesichert. An der Spitze steht der Plattformschl\u00fcssel (PK), der den Systembesitz definiert und typischerweise vom jeweiligen Mainboard Hersteller gesetzt wird. Der PK [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":8970,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5,1],"tags":[],"class_list":["post-8965","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheit","category-technik-wiki"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/posts\/8965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/comments?post=8965"}],"version-history":[{"count":9,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/posts\/8965\/revisions"}],"predecessor-version":[{"id":8986,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/posts\/8965\/revisions\/8986"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/media\/8970"}],"wp:attachment":[{"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/media?parent=8965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/categories?post=8965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.extracomputer.de\/ratgeber\/wp-json\/wp\/v2\/tags?post=8965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}