Ablauf der Secure Boot Zertifikate Juni 2026: Unterschied zwischen den Versionen

Im Juni 2026 laufen die Secure Boot-Zertifikate für alle Computer ab.

Lenovo Dokumente zur Aktualisierung der Secure Boot Zertifikate

Lenovo hat hier zusätzliche Informationen veröffentlicht, wie man die neuen Zertifikate via BIOS-Update erhalten und aktivieren kann.

Die englische Original-Version der Seite enthält zusätzlich eine Liste aller Lenovo-Modelle, zu denen es ein entsprechendes BIOS-Update gibt. Aufgeführt sind nur solche, die seitens Lenovo offiziell mit Windows 11 unterstützt werden.

Unterstützte Modelle

• Bei ThinkPads sind die Modelle ab Generation T480.
• Bei den in der Liste angegebenen BIOS-Versionen handelt es sich um die älteste, die mit den neuen Secure Boot-Zertifikaten ausgeliefert wurden
• In der README zu den jeweiligen BIOS-Updates erkennt man im Abschnitt "Version History" am Eintrag

- [Important] Enhancement to address security vulnerability,..., CVE-2023-24932

dass diese BIOS-Updates das betreffende Boot-Zertifikat enthalten. - Mehrfache Auflistungen bei unterschiedlichen BIOS-Versionen sind hierbei möglich (z.B. bei T16 Gen 1).

Vorgehensweise

Wurde das BIOS aktualisiert, werden im BIOS unter "Security" - "Secure Boot" - "Key Management" weiterhin ausschließlich die alten Zertifikate angezeigt:

Aktivierung der Zertifikate

Die neuen Zertifikate müssen erst manuell aktiviert werden.

Lenovo schreibt hierzu:

• Nach der Anwendung des Lenovo BIOS-Updates für die Zertifikate von 2023:
  • Bitte beachten Sie, dass diese Maßnahmen ein BitLocker-Wiederherstellungsszenario verursachen können, und stellen Sie sicher, dass der BitLocker-Wiederherstellungsschlüssel verfügbar ist, wenn BitLocker aktiviert ist.
  • Für weitere Informationen zu Ihrem BitLocker-Wiederherstellungsschlüssel lesen Sie bitte diesen Microsoft-Supportartikel: Finden Sie Ihren BitLocker-Wiederherstellungsschlüssel
• Führen Sie den Befehl "Auf Werkseinstellungen zurücksetzen" in der BIOS-Konfiguration aus

Daran denken: Vor Ausführen zuerst die Änderungen der BIOS-Einstellungen, die in der Vergangenheit vorgenommen worden waren, notieren und nach ausführen der nächsten Anweisung wieder vornehmen.

• Führen Sie den Befehl "Werksschlüssel wiederherstellen" im Secure Boot-Menü der BIOS-Konfiguration aus

Das neue Secure Boot-Zertifikat ist nun aktiv.

Prüfung der Zertifikate unter Windows

Zur Prüfung, ob unter Windows die Zertifikate erkannt werden, geht man gem. dieser Anleitung (bei tech-support.koeln) vor.

Zusätzliche Informationen

Für weitere Informationen besuchen Sie bitte die Support- und Blogbeiträge von Microsoft zu diesem Thema:

• Windows Ablauf von Secure Boot-Zertifikaten und CA-Updates - Microsoft Support
• Jetzt handeln: Secure Boot-Zertifikate laufen im Juni 2026 ab - Windows IT Pro Blog
• Windows Geräte für Heimanwender, Unternehmen und Schulen mit Microsoft-verwalteten Updates - Microsoft Support
• Windows Geräte für Unternehmen und Organisationen mit IT-verwalteten Updates - Microsoft Support
• Updates der Secure Boot-Zertifikate: Anleitung für IT-Profis und Organisationen - Microsoft Support

Weblinks

• Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs
• 2011 Microsoft Secure Boot Certificate Expiration – Lenovo Commercial PCs] (mit Liste der unterstützten Lenovo-Modelle und BIOS-Versionen)
• Diskussion im ThinkPad-Forum
• Wie kann ich testen, ob die Zertifikate erneuert wurden? (bei tech-support.koeln)
• cjee21/Check-UEFISecureBootVariables
• grub-Befehl auf Dual-Boot-System (im ThinkPad-Forum)
• Anleitung zu Secure Boot-Zertifikatsupdates für IT-Profis und Organisationen - Automatisierte Bereitstellungshilfen (bei Microsoft)
• Anleitung zu Secure Boot-Zertifikatsupdates für IT-Profis und Organisationen - Deployment-Methoden, die nicht abgedeckt sind (bei Microsoft)