Microsoft hat Benutzer kürzlich daran erinnert, dass das für Secure Boot im Windows-Ökosystem verwendete Verschlüsselungszertifikat bald einem Upgrade unterzogen wird. Das ursprüngliche Secure Boot-Zertifikat, das seit der Einführung von Windows 8 mehr als 15 Jahre lang verwendet wurde, läuft im Juni 2026 ab und muss durch ein neues Zertifikat ersetzt werden, um die Sicherheit während der Systemstartphase aufrechtzuerhalten.

Secure Boot ist eine Sicherheitsfunktion auf Firmware-Ebene, die als Teil der UEFI-Spezifikation eingeführt wurde. Sein Hauptzweck besteht darin, zu verhindern, dass potenziell bösartiger Bootcode geladen wird, bevor das Betriebssystem startet. Daher muss die Vertrauensbasis (Zertifikate und Schlüssel) regelmäßig aktualisiert werden, um zu verhindern, dass alte Anmeldeinformationen aufgrund der kryptografischen Alterung zu einer Schwachstelle bei Angriffen werden. Nuno Costa, Programmmanager der Windows Services and Delivery-Abteilung von Microsoft, sagte im offiziellen Blog, dass die Außerbetriebnahme alter Zertifikate und die Einführung neuer Zertifikate eine gängige Praxis in der Branche sei und dazu beitrage, dass die Plattform stets den modernen Sicherheitserwartungen entspreche.

Tatsächlich hat Microsoft im Jahr 2023 eine neue Version des Secure Boot-Zertifikats veröffentlicht, aber seit Windows 8 ist das Originalzertifikat für die Validierung des Startvorgangs verantwortlich. Benutzer und Unternehmen können neue Zertifikate über eine Vielzahl vertrauenswürdiger Kanäle erhalten, einschließlich UEFI-Firmware-Updates, die von Motherboard-Herstellern veröffentlicht werden. Gleichzeitig wird Microsoft die neuen Zertifikate auch in monatliche Patches und Sicherheitsupdates integrieren, die automatisch über Windows Update verteilt werden. Unternehmensumgebungen können verschiedene Verwaltungstools verwenden, um den Push-Prozess anzupassen. Microsoft bezeichnet dieses Zertifikatsupdate als eine der größten koordinierten Sicherheitswartungsmaßnahmen im Windows-Ökosystem.

Da Secure Boot auf der Firmware-Ebene ausgeführt wird und sich direkt darauf auswirkt, wie der PC startet, muss Microsoft bei diesem Upgrade eng mit Hardwareherstellern, OEMs und anderen Partnern zusammenarbeiten, um die Firmware für Millionen von Windows-Geräten zu aktualisieren und Kettenreaktionen wie weit verbreitete Startfehler zu vermeiden. Geräte, die sich noch im Support-Zyklus von Microsoft befinden (einschließlich Windows 11- und Windows 10-Maschinen, die am Extended Security Update Program teilnehmen), können das neue Zertifikat über Windows Update erhalten, während ältere PCs dieses Update nicht installieren können und relativ weniger sicher sind.

Costa wies darauf hin, dass Geräte, die noch auf dem alten 2011-Zertifikat basieren, kurzfristig zwar weiterhin normal booten, jedoch als „heruntergestufter“ Sicherheitszustand betrachtet werden und solche Geräte in Zukunft möglicherweise keine neuen Schutzfunktionen auf Firmware-Ebene erhalten werden. Wenn neue Schwachstellen in der Boot-Schicht entdeckt werden und keine entsprechenden Gegenmaßnahmen installiert werden können, wird die Gefährdung verwandter Systeme weiter zunehmen und kann auf lange Sicht sogar zu Kompatibilitätsproblemen führen. Beispielsweise können aktualisierte Betriebssysteme, Firmware, Hardware oder Software, die auf Secure Boot basieren, nicht geladen werden. PC-Hersteller wie Dell haben Anweisungen zur Überprüfung bereitgestellt, ob das System das neue Secure Boot-Zertifikat unterstützt, um Benutzern die Bestätigung des Status ihrer Geräte zu erleichtern.

Bei Computern, die Secure Boot überhaupt nicht aktivieren, wird der tägliche Betrieb im Allgemeinen nicht direkt beeinträchtigt. Allerdings kam es bei Secure Boot seit seiner Einführung zu zahlreichen schwerwiegenden Sicherheitsvorfällen, darunter auch „PKfail“, was zu Implementierungs- und Verwaltungsproblemen führte. Dennoch wird dieser Mechanismus bei einigen Online-Spielen und MOBAs zunehmend zur zwingenden Voraussetzung, was dazu führt, dass Benutzer, die Linux oder ältere, aber immer noch ausreichend leistungsfähige Gaming-Hardware verwenden, bei der Teilnahme an diesen Spielen der neuen Generation mit einem Ausschluss oder höheren Eintrittsbarrieren rechnen müssen.