Microsoft gibt (vorerst) Entwarnung für Secure Boot Deadline im Juni

In den letzten Monaten hatten wir über eine wichtige Umstellung von Zertifikaten in Windows 11 berichtet, die für den sicheren Systemstart benötigt werden. Microsoft informierte immer wieder darüber, dass Windows-PCs ab Juni ernste Probleme bekommen, sollten die nötigen Zertifikate nicht rechtzeitig aktualisiert werden.

Nun hat Microsoft gegenüber Windowslatest einige offene Fragen zum Thema Secure Boot beantwortet und gibt in einigen Punkten Entwarnung. Der 24. Juni ist demnach nicht als “harte” Deadline zu sehen, nach deren Ablauf es für betroffene Systeme gar nicht mehr möglich sein wird, den sicheren Systemstart zu nutzen.

Stattdessen soll sich diese Deadline speziell auf die Auslieferung eines Key Exchange Keys beziehen, der als Sicherheitsschlüssel für Secure Boot dient. Daneben gibt es noch einen zweiten Schlüssel, den DB Key, der erst im Oktober 2026 ablaufen soll.

Wenn Sie bis zum 24. Juni nicht alle neuen Secure-Boot-Zertifikate bekommen haben, ist also noch nicht alles verloren. Microsoft erwartet, mithilfe des zweiten Schlüssels noch bis Oktober weitere Boot Manager ausliefern zu können.

„Es gibt kein Ablaufdatum, ab dem der Registrierungsschlüssel und das Update nicht mehr funktionieren“, bestätigte Scott Shell, der als Principal Software Design Engineer bei Microsoft arbeitet.

Dennoch gibt es gewisse Einschränkungen, die nach Juni für alle Systeme gelten, die Secure Boot nicht aktualisiert haben. Ihr System kann etwa keine neuen DBX-Sperrlisten mehr herunterladen (diese enthalten die Signaturen fehlerhafter oder gefährlicher Bootloader, die Ihrem System schaden können, und daher von Windows blockiert werden).

Was ist, wenn ich Secure Boot nicht nutze?

Microsoft hat noch eine weitere, wichtige Frage beantwortet: Was passiert mit all den Systemen, die Secure Boot aktuell nicht aktiviert haben, es in Zukunft aber eventuell nutzen möchten?

Wenn Secure Boot deaktiviert ist, kann Microsoft die nötigen Zertifikate nicht aktualisieren. Das ist kein Problem, wenn es dabei bleibt (auch wenn der sichere Systemstart empfehlenswert ist, um Ihren PC vor Gefahren zu schützen.)

Shell erklärte, dass Microsoft auf diesen Rechnern dennoch den Boot-Manager auf die für 2023 signierte Version aktualisieren wird. Der Boot-Manager selbst ist also einsatzbereit, dennoch werden aber die passenden Zertifikate benötigt. Sind diese nicht vorhanden, kann es passieren, dass der Rechner gar nicht mehr startet.

Vor der ersten Aktivierung von Secure Boot muss also jeder Nutzer oder System-Admin dafür sorgen, dass zuerst die aktuellen Zertifikate manuell heruntergeladen werden. Das genaue Vorgehen hierfür hat Microsoft in diesem Support-Dokument festgehalten.

Virtuelle Maschinen, die über die Azure-Cloud gehostet werden und entweder „Secure Launch“ oder „Trusted Launch“ nutzen, bekommen die neuen Zertifikate übrigens automatisch. Sie müssen in diesem Fall nichts weiter tun.

Übrigens: Sollten Sie Windows 11 Home im Einsatz haben, dann entgehen Ihnen die vielen Vorteile der Pro-Version, die wir Ihnen hier vorstellen. Im PC-WELT Software-Shop ist das Windows-11-Upgrade für günstige 59,99 Euro statt 145 Euro erhältlich.

Gibt es Unterschiede zwischen Windows 11 und Windows 10?

Auf die Frage, ob es Unterschiede zwischen den Secure-Boot-Updates von Windows 10 und Windows 11 gibt, antwortete Microsoft mit Nein. Windows 10 bekommt im Rahmen der erweiterten Sicherheitsupdates noch bis Oktober relevante Sicherheitspatches, und die Secure Boot Zertifikate gehören hier dazu.

Der einzige Unterschied ist, dass einige ältere Systeme nicht standardmäßig mit aktiviertem Secure Boot ausgeliefert wurden oder mit Konfigurationen laufen, die keine Telemetriedaten an Microsoft senden. In diesem Fall müssen Sie etwas nachhelfen, um die Zertifikate zu erhalten.

Prüfen Sie am besten mithilfe dieser Anzeige, ob Secure Boot aktiviert wurde, und laden Sie die Zertifikate dann manuell herunter. Microsoft betont:Je früher die Zertifikate aktualisiert werden, desto besser.