Microsoft hat in einer Fragerunde klargestellt, was ab Juni 2026 genau mit Windows-11-PCs passiert, wenn alte Secure-Boot-Zertifikate ablaufen und das nötige aktualisierte Zertifikat fehlt.
Wer den Wechsel auf das neue Zertifikat ignoriert oder aktiv blockiert, wird seinen PC zwar weiterhin normal hochfahren können und reguläre Windows Updates erhalten, allerdings werden künftig keine wichtigen Sicherheits-Aktualisierungen mehr für den Boot-Vorgang bereitgestellt.
Die gute Nachricht: Panik ist unangebracht, denn auf den meisten Systemen erfolgt der Austausch des Zertifikats bequem und automatisch über Windows Update.
Link zum YouTube-Inhalt
Warum das Secure-Boot-Zertifikat ausläuft
Secure Boot ist ein Sicherheitsfeature von Windows, das sicherstellt, dass nur vertrauenswürdige Software geladen wird. Es ist der Türsteher, der gefährliche Schadsoftware wie Bootkits abblockt, bevor das eigentliche Windows-System überhaupt startet.
Das Problem: Die digitalen Zertifikate haben eine 15-jährige Laufzeit. Da sie im Jahr 2011 ausgestellt worden sind, laufen sie 2026 schlichtweg ab. Um einen nahtlosen Übergang zu gewährleisten, werden sie durch neue Zertifikate ausgetauscht.
Keine aktuelles Zertifikat: Da sind die Folgen
Was passiert, wenn das aktualisierte Zertifikat nicht auf einem Windows-PC installiert wird, hat Microsoft in einem »Ask Microsoft Anything« erklärt. Dort haben Experten für Klarheit gesorgt und auch mit dem Gerücht aufgeräumt, dass Windows-PCs ohne das Update ab Juni überhaupt nicht mehr starten würden.
Die Experten stellten klar: Ein PC mit dem veralteten Zertifikat wird auch im Juli und darüber hinaus normal booten. Auch alltägliche Windows-Updates, App-Aktualisierungen und Defender-Updates werden weiterhin ganz normal heruntergeladen.
Einzig die Sicherheit des Boot-Prozesses wird beeinträchtigt. Ohne das neue Zertifikat kann Microsoft den Boot-Manager und auch die Sperrlisten für gefährliche Software nicht mehr aktualisieren.
Das bedeutet: Der Boot-Vorgang des PCs bleibt auf dem Sicherheitsstand von Juni 2026 stehen. Entdeckt Microsoft neue Sicherheitsprobleme, bleiben PCs ohne das Update ungeschützt.
5:54
Windows 11 verlangt zwei Extras, aber hast du sie schon aktiviert? Wie du es herausfindest und sie einschaltest
Woran das automatische Update scheitern kann
Für den durchschnittlichen Anwender besteht wenig Grund zur Sorge. Sind automatische Windows-Updates aktiviert, hat Microsoft mit aller Wahrscheinlichkeit nach dem Wechsel längst im Hintergrund vollzogen oder steht kurz davor, diesen durchzuführen.
Hellhörig werden sollten jedoch Bastler und Nutzer mit dualen Systemen. Wer tiefgreifende Änderungen vorgenommen hat oder automatische Updates blockiert, könnte ohne das wichtige Update dastehen.
In speziellen Fällen muss manuell nachgebessert werden, um den Rechner auf den neuen Sicherheitsstandard zu bringen.
So prüft ihr, ob ein PC bereit für Juni 2026 ist
Auf den meisten Systemen reicht es aus, sicherzustellen, dass alle Updates über Windows Update installiert sind.
- Öffnet die Einstellungen (Windows-Taste + I).
- Navigiert zu Windows Update und klickt auf »Nach Updates suchen«.
- Installiert alle ausstehenden Updates, insbesondere kumulative Updates und optionale Updates, die Systemkomponenten betreffen.
Microsoft rät zusätzlich dazu, über die PowerShell den Stand zu überprüfen:
- Öffnet das Startmenü.
- Tippt PowerShell ein.
- Wählt »Als Administrator ausführen« aus.
- Gebt den folgenden Befehl ein und drückt danach die Enter-Taste: [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
- Wird »True« ausgegeben, ist das neue Zertifikat bereits vorhanden.
Mehr zum Thema: Hilfreich kann auch das Tutorial zum Aktivieren von Secure Boot von unserem Redakteur Alexander Köpf sein.
Fazit: Entwarnung für die breite Masse
Microsofts Klarstellung nimmt dem gefürchteten Ablaufdatum
viel von seinem Schrecken. Der viel befürchtete Ausfall des PCs wird nicht eintreten, selbst wenn das Update nicht installiert ist.
Wer sein System regelmäßig aktualisiert und nicht tief in den Boot-Einstellungen experimentiert hat, kann dem Zertifikatswechsel ganz entspannt entgegensehen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.