Blog

Secure Boot Zertifikate

Ablauf der Zertifikate

Die Zertifikate von Microsoft laufen ab 24.06.2026 ab. Was ein Ablauf der Zertifikate bedeutet, kann leider noch keiner genau sagen, es ist das erste Mal, dass diese Zertifikate seit Einführung von Secure Boot auslaufen. Ich würde sagen, es hat vibes vom Milenium Bug. 

Grundlagen der Secure Boot Zertifikaten

Es gibt verschieden Speicher im BIOS, die die Zertifikate speichern. Jeder Part hat seine eigene Aufgabe und werden auch von unterschiedlichen Updates aktuallisiert. Wichtig ist dabei, nicht nur Microsoft, sondern auch der Hersteller aktuallisiert Zertifikate per BIOS Update. Die 3 wichtigsten Speicher sind:

• KEK
  KEK bestimmt, wer darf Änderungen an der activen Datenbank vornehmen. Wichtig auch, wer darf die Zertifikate aktuallisieren. (Updates von MS)
• db
  Die active Datenbank, die zur Prüfung bei Secure Boot genutzt wird. (Updates von MS)
• dbdefault
  Die factory Datenbank der Zertifikate. Diese wird geladen, sobald man im BIOS die Werkseinstellung wieder aufruft. (Updates vom Hersteller)

Sobald Microsoft die neuen Zertifikate auf dem System hat, benötigt Windows 2 Neustarts, um die Zertifikate auch im BIOS zu hinterlegen. Zwischen den Neustarts muss ebenfalls genug Zeit liegen, damit die Zertifikate auch installiert werden. In meinen Tests waren es mindestens 10 Minuten zwischen den Reboots.

Prüfung und Updates

Die Updates von Microsoft werden mit den Sicherheitsupdates über Windows Update seit Februar 2026 auf die Clients verteilt und sollten automatisch und ohne Eingriff ausgerollt werden. Bei den Privaten Geräten funktionierte das sehr gut, in der Enterprise Umgebung gab es einige Probleme, die ein manuelles Handeln erforderten. Auch die Hersteller liefern die neuen Zertifikate per BIOS Updates aus.

Um den eigenen Rechner zu prüfen, gibt es 3 kleiner Powershell Commands. Ein komplettes Script mit Log Ausgabe habe ich bereitgestellt: SecureBootCerts_CheckAll.ps1

• KEK
  

  ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft.*KEK.*2023')

• db
  

  ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

• dbdefault
  

  ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

Alle drei Kommandos liefern entweder True oder False zurück, True, wenn die neuen Zertifikate vorhanden sind, False, wenn sie noch fehlen.

Sollten die Zertifikate noch fehlen, kann man das Update auch erzwingen. Dazu sind folgende Schritte nötig.

1. Prüfung der aktuellen Windows Updates (erst ab 02.2026 werden die Zertifikate ausgeliefert)
2. Windows zwingen, ein Secure Boot Update durchzuführen. Dazu wird ein Regestry Key gesetzt und der geplante Task gestartet
   

   Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot' -Name 'AvailableUpdates' -Value 0x5944;
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update";

3. 2 Neustarts mit genügend Zeit dazwischen sind erforderlich.

Im Eventlog System werden bei dem Prozess folgende IDs geloggt und können geprüft werden:

• 1808: Erfolg
• 1801: Bereitgestellt, es wird auf dem 2. Neustart gewartet
• 1800: Neustart erforderlich
• 1795, 1796, 1802: Fehler, meist blockiert das BIOS und erlaubt keinen Schreibvorgänge, KEK Zertifikat fehlt

Ebenfalls lassen sich mit den oben angegeben Kommandos die Zertifikate prüfen und sollten nun True zurück geben.