Veröffentlicht in sicherheit.

UEFI Secure Boot-Zertifikate für Windows laufen ab

am 17.01.2026.

Im Juni 2026 laufen die Windows UEFI Secure Boot-Zertifikate ab. Das kann zur Folge haben, das Windows nicht mehr startet. Wir erklären, was zu tun ist und wie man den aktuellen Status prüft.

Was ist ein Secure Boot-Zertifikat

Hierzu müssen wir zunächst erklären, was Secure Boot bedeutet:

Secure Boot stellt sicher, das nur vertrauenswürdige Software beim Start vom Computer geladen wird. Diese Sicherheitsfunktion basiert auf Zertifikate, welche im UEFI-Chip gespeichert sind.

Und genau diese Zertifikate laufen in 2026 ab. Ausnahme: Windows Copilot+ PC's ab 2025.

Ab Juni 2026: KEK CA 2011, UEFI CA 2011
Ab Oktober 2026: Windows Production PCA 2011-Zertifikat

Was ist die Folge eines alten Zertifikats?

Der Startprozess ist nicht mehr abgesichert.
Sicherheits-Updates werden nicht mehr installiert bzw. verweigert
Windows startet nicht mehr, wenn Secure Boot aktiviert ist!

Wie bekomme ich ein Update?

Microsoft versucht die Zertifikate per Windows Updates bereits seit 2025 auszutauschen.

Die Betohnung liegt leider auf versucht. Es gibt wie immer zahlreiche Gründe warum das nicht funktioniert.

Anwender sollten darauf achten, das die BIOS Updates des Herstellers installiert sind und Windows auf einem aktuellen Stand ist.

Wie kann ich testen, ob die Zertifikate erneuert wurden?

Bei Github findet sich ein PowerShell Script von dem Benutzer cjee21, mit dessen Hilfe man sich die verschiedenen Zertifikate anzeigen lassen kann.

Dazu lädt man sich die Script-Sammlung direkt im Repository oder hier herunter.

Anschließend muss man die ZIP-Datei entpacken und per Rechtsklick die Datei "Check UEFI PK, KEK, DB and DBX.cmd" als Administrator ausführen.

Interessant sind folgende Zeilen:

Secure Boot status:
Curent UEFI KEK (Hier sollte Microsoft Corporation KEK 2K CA 2023 gelistet sein)
Default UEFI KEK (Hier sollte Microsoft Corporation KEK 2K CA 2023 gelistet sein)
Current UEFI DB (Hier sollte Microsoft UEFI CA 2023 gelistet sein)
Default UEFI KEK (Hier sollte Microsoft UEFI CA 2023 gelistet sein)

das sieht dann so aus:

Fehlen die 2023 Zertifikate, sind diese noch nicht via Windows Updates oder BIOS Update aktualisiert.

Sind die 2023 Zertifikate wie in dem Screenshot zu sehen vorhanden, lässt sich mit dem Script "Check Windows State.cmd" überprüfen, ob Windows für den Start auch tatsächlich das neue 2023er Zertifikat anwendet.

Dazu das Script mit einem Rechtsklick und als Administrator ausführen.

Die Script-Sammlung bietet auch Scripte um das Update selbst durchzuführen. Weitere Informationen dazu finden sich in der hier verlinkten Readme.

Die folgende Warnung sollte man jedoch unbedingt beachten und seine Daten vorher sichern!

"Make sure you know what you are doing before attempting this. It may cause some things to be no longer bootable on your system."

Weitere Informationen dazu finden sich direkt in den Microsoft Support Dokumenten.

Erfahrungen mit der Secure Boot Aktualisierung von Dell PC's

Wie in dem Blog von borncity.com und den Kommentaren zu lesen ist, gibt es bei Dell Computern und Laptops Schwierigkeiten, beim aktualisieren der Secure Boot Keys.

Das liegt laut Kommentatoren daran, das bei Dell Systemen die Aktualisierung via Windows Updates nicht funktioniert.

Dell hat selbst eine Liste von Systemen veröffentlicht, die per BIOS Update die neuen Keys erhalten. In der Beschreibung der BIOS Version sollte demnach stehen "This BIOS contains the new 2023 Secure Boot Certificates".

Ältere Systeme hingegen, haben angeblich Pech gehabt.

Wir haben uns ein Dell T30 System aus 2018 vorgenommen und konnten feststellen, das sich die neuen Secure Boot Keys nur aktualisieren lassen, wenn im BIOS unter Secure Boot und dem Menüpunkt Expert Key Management, Enable Custom Mode aktiviert ist.

Anschließend haben wir die BIOS Änderung gespeichert, den PC neugestartet und in der Scriptsammlung das Script "Apply 2023 KEK, DB and bootmfgw update.cmd" ausgeführt.