Secure Boot - Bootloader - Zertifikate

Aus: c'6 2/2026, Seite 60/61

Alte Bootloader

Ein für Secure Boot konfigurierter PC erkennt den Bootloader eines Mediums als manipulationsfrei, wenn der mit speziell dafür erstellten Zertifikaten signiert wurde. Diese Signaturen kann nur Microsoft ausstellen. Seit der Einführung von Secure Boot kommen dafür Zertifikate zum Einsatz, die 2011 generiert worden sind.

Diese Zertifikate laufen Mitte 2026 ab. Danach kann Microsoft damit keine neuen Bootloader mehr signieren. Das erzeugt Handlungsdruck: Microsoft muss neue Zertifikate auf PCs hinterlegen, damit die zukünftig signierten Bootloadern vertrauen. Das neue Zertifikat wurde 2023 erstellt, ist aber noch wenig verbreitet. Microsoft muss auch nicht nur neue Zertifikate verteilen, sondern ebenfalls die Bootloader austauschen.

Medien mit Bootloadern, die sowohl mit dem alten als auch mit dem neuen Zertifikat signiert sind, lassen sich nicht erstellen. Es geht momentan nur entweder/oder. So verwenden selbst die Boot-Medien, die Microsoft aktuell veröffentlicht, noch Bootloader, die mit dem alten Zertifikat signiert sind.

Zertifikate prüfen

Wie kann ich nun prüfen, ob mein PC schon neue Zertifikate für Secure Boot erhalten hat?

Das geht am präzisesten mit vier PowerShell-Befehlen als Administrator. Die ersten drei müssen Sie auf dem PC nur einmalig aufrufen, sie installieren ein Modul, das den Befehl zum Abrufen der Zertifikatinformationen ergänzt. Die Warnung, dass die PSGallery ein „untrusted repository“ sei, können Sie dabei getrost ignorieren; Microsofts Prüfung der Module vor der Aufnahme in dieses Verzeichnis gilt allgemein als recht sicher:

Install-Module -Name UEFIv2
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
Import-Module UEFIv2
Get-UEFISecureBootCerts

Auf einem PC, der sowohl die alten 2011er- als auch die neuen 2023er-Zertifikate hat, umfasst die Ausgabe für jeden Jahrgang zwei Zertifikate, weil Secure Boot seit jeher zwischen Windows-Bootloadern und fremden unterscheidet. Die für Microsofts Betriebssystem zuständigen haben „Windows“ im CN-Feld (Common Name). Manchmal tauchen zusätzlich weitere Zertifikate von Microsoft sowie von Hardwareherstellern auf.

Wenn Sie nur wissen wollen, ob das neue Windows-Zertifikat auf einem PC bereits vorhanden ist, genügt dieser Einzeiler:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

Er gibt „True“ aus, wenn das neue Zertifikat vorhanden ist, andernfalls „False“.

 

Stand: 2026-01-14

Stand der Webseite: 2026-01-01

Copyright: ©roc-k-IT - IT-Beratung 2026

Haftungsausschluss

Haftung für Inhalte

Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

Haftung für Links

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

Urheberrecht

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet. Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.

Datenschutz

Ich freu mich sehr über Ihr Interesse an meinem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die roc-k-IT - IT-Beratung.

Details der Datenschutz-Erklärung