Secure-Boot-Zertifikate laufen am 24. Juni 2026 ab: Was Admins jetzt tun müssen

Was passiert am 24. Juni 2026?

Am 24. Juni 2026 laufen die ersten Secure-Boot-Zertifikate von Microsoft ab. Diese Zertifikate sind Teil der UEFI-Secure-Boot-Infrastruktur und werden verwendet, um die Integrität des Bootvorgangs zu überprüfen. Wenn die Zertifikate ablaufen, können Systeme mit aktiviertem Secure Boot möglicherweise nicht mehr ordnungsgemäß booten.

Microsoft hat bereits seit Monaten versucht, IT-Administratoren dazu zu bewegen, ihre Systeme mit neuen Secure-Boot-Zertifikaten zu aktualisieren. Dennoch scheint die Umsetzung nicht überall reibungslos zu verlaufen, wie Nutzerberichte zeigen.

Welche Systeme sind betroffen?

Grundsätzlich sind alle Systeme betroffen, die Secure Boot nutzen:

1. Windows 10 und 11 – alle aktuellen Versionen mit aktiviertem Secure Boot
2. Windows Server 2019, 2022 und 2025 – insbesondere Domain-Controller und Hyper-V-Hosts
3. Linux-Distributionen – Ubuntu, Debian, Fedora und andere mit Secure-Boot-Unterstützung
4. VMware vSphere/ESXi – bei aktiviertem Secure Boot im UEFI-Modus
5. Alle UEFI-basierten Systeme mit Microsoft-Zertifikaten im Boot-Manager

Was passiert bei abgelaufenen Zertifikaten?

Die konkreten Auswirkungen hängen vom Hersteller und der Implementierung ab:

Was müssen Admins jetzt tun?

Die folgenden Schritte sollten Administratoren umgehend durchführen:

1. Windows-Updates installieren – Die Juni-2026-Updates enthalten die neuen Secure-Boot-Zertifikate. Stellen Sie sicher, dass alle Systeme die aktuellen Updates erhalten haben.
2. UEFI-Firmware prüfen – Rufen Sie die UEFI-Einstellungen auf und prüfen Sie, ob die Secure-Boot-Zertifikate aktualisiert wurden. Bei HP-Systemen kann ein BIOS-Update erforderlich sein.
3. SBAT-Update für Linux – Wenn Sie Linux im Dual-Boot oder als Hyper-V-Gast betreiben, prüfen Sie, ob das SBAT (Secure Boot Advanced Targeting) aktualisiert wurde.
4. Teststart durchführen – Führen Sie vor dem Produktivbetrieb einen Neustart durch und prüfen Sie, ob das System ordnungsgemäß bootet.
5. Dokumentation aktualisieren – Halten Sie fest, welche Systeme aktualisiert wurden und welche noch ausstehen.
6. Notfallplan erstellen – Für den Fall, dass ein System nicht mehr bootet, sollte ein Wiederherstellungsplan bereitstehen (Boot-Medium, Legacy-Boot-Option).

Hintergrund: Warum laufen Zertifikate ab?

Secure Boot verwendet eine Kette von vertrauenswürdigen Zertifikaten, um sicherzustellen, dass nur signierte und autorisierte Bootloader und Treiber geladen werden. Microsoft als einer der vertrauenswürdigen Schlüsselverwalter hat seine Zertifikate mit einem Ablaufdatum versehen. Dies ist ein Sicherheitsmechanismus: Selbst wenn ein Zertifikat kompromittiert wird, ist es nur bis zum Ablaufdatum gültig.

Die aktuell ablaufenden Zertifikate stammen aus dem Jahr 2016 und wurden mit einer Gültigkeit von 10 Jahren ausgestellt. Microsoft hat bereits 2024 mit der Ausstellung neuer Zertifikate begonnen, die über Windows Update verteilt werden.

Besonderheiten bei HP-Systemen

Laut Nutzerberichten auf BornCity haben insbesondere HP-Systeme Probleme mit dem Zertifikatswechsel. Bei älteren HP-BIOS-Versionen werden die neuen Zertifikate nicht automatisch übernommen. In diesen Fällen ist ein manuelles BIOS-Update von der HP-Support-Seite erforderlich. Betroffene Admins sollten dringend die HP-Support-Seite für ihr jeweiliges Modell aufrufen und das aktuellste BIOS-Update installieren.

Passende Anleitungen auf S-EDV

1. Secure Boot 2023: UEFI-Zertifikate für Windows Server und VMware
2. Windows-Updates mit WSUS und Update for Business verwalten
3. Linux-Server härten nach CIS-Benchmark

Quellen

1. BornCity: Secure Boot-Zertifikate laufen am 24. Juni 2026 ab – Nutzererfahrungen mit HP
2. Heise: Secure-Boot-Zertifikate laufen ab – Was Admins wissen müssen
3. Microsoft: Secure Boot Overview