Ablauf der Secure Boot Zertifikate Juni 2026

Im Juni 2026 laufen die Secure Boot-Zertifikate für alle Computer ab.

Lenovo Dokumente zur Aktualisierung der Secure Boot Zertifikate

Lenovo hat hier zusätzliche Informationen veröffentlicht, wie man die neuen Zertifikate via BIOS-Update erhalten und aktivieren kann.

Die englische Original-Version der Seite enthält zusätzlich eine Liste aller Lenovo-Modelle, zu denen es ein entsprechendes BIOS-Update gibt. Aufgeführt sind nur solche, die seitens Lenovo offiziell mit Windows 11 unterstützt werden.

Unterstützte Modelle

• Bei ThinkPads sind die Modelle ab Generation T480.
• Bei den in der Liste angegebenen BIOS-Versionen handelt es sich um die älteste, die mit den neuen Secure Boot-Zertifikaten ausgeliefert wurden
• In der README zu den jeweiligen BIOS-Updates erkennt man im Abschnitt "Version History" am Eintrag

- [Important] Enhancement to address security vulnerability,..., CVE-2023-24932

dass diese BIOS-Updates das betreffende Boot-Zertifikat enthalten. - Mehrfache Auflistungen bei unterschiedlichen BIOS-Versionen sind hierbei möglich (z.B. bei T16 Gen 1).

Vorgehensweise

Wurde das BIOS aktualisiert, werden im BIOS unter "Security" - "Secure Boot" - "Key Management" weiterhin ausschließlich die alten Zertifikate angezeigt:

Aktivierung der Zertifikate

Die neuen Zertifikate müssen erst manuell aktiviert werden.

Lenovo schreibt hierzu:

• Nach der Anwendung des Lenovo BIOS-Updates für die Zertifikate von 2023:
  • Bitte beachten Sie, dass diese Maßnahmen ein BitLocker-Wiederherstellungsszenario verursachen können, und stellen Sie sicher, dass der BitLocker-Wiederherstellungsschlüssel verfügbar ist, wenn BitLocker aktiviert ist.
  • Für weitere Informationen zu Ihrem BitLocker-Wiederherstellungsschlüssel lesen Sie bitte diesen Microsoft-Supportartikel: Finden Sie Ihren BitLocker-Wiederherstellungsschlüssel
• Führen Sie den Befehl "Auf Werkseinstellungen zurücksetzen" in der BIOS-Konfiguration aus

Daran denken: Vor Ausführen zuerst die Änderungen der BIOS-Einstellungen, die in der Vergangenheit vorgenommen worden waren, notieren und nach ausführen der nächsten Anweisung wieder vornehmen.

• Führen Sie den Befehl "Werksschlüssel wiederherstellen" im Secure Boot-Menü der BIOS-Konfiguration aus

Das neue Secure Boot-Zertifikat ist nun aktiv.

Prüfung der Zertifikate unter Windows

Zur Prüfung, ob unter Windows die Zertifikate erkannt werden, geht man gem. dieser Anleitung (bei tech-support.koeln) vor.

Das Ergebnis kann etwa so aussehen:

Laut diesem Beitrag (im Thinkpad-Forum) sind diese Fehlermeldungen "in Ordnung":

Windows ist mit den Einstellungen zufrieden, die CA 2023 Einträge zum booten sind aktiv. Booten mit CA 2023 ist möglich.
Microsoft Option ROM UEFI CA 2023:
Lenovo fügte das Zertifikat nicht hinzu, da keine damit signierte Firmware vorhanden ist.
Windows fügte das nicht zur Current DB hinzu, wird bei dem System nicht benötigt.

Nachtrag 11.03.2025 (im ThinkPad-Forum):

Mit dem Windows 11 März 2026 Update wurde 'Get-SecureBootUEFI -decode' ergänzt, die Ausgabe wird im Klartext dargestellt.
Für einen Eindruck sind keine externe scripte notwendig.
Code (für Powershell):

Get-SecureBootUEFI -name KEK -decode
Get-SecureBootUEFI -name DB -decode

Die CA 2023 Umsetzung ist weiter im Gange, es werden kleine Schritte gemacht.

Hier Infos zur HighConfidenceBucket Einstufung.

• Ein genauerer Blick auf die Datenbank mit hoher Zuverlässigkeit - Microsoft-Support
• secureboot_objects/HighConfidenceBuckets/README.md at main · microsoft/secureboot_objects

26821 'Thinkpad' Einträge in den HighConfidenceBuckets_*.csv Dateien, 16 Einträge für 'Thinkpad T530'. Und 0 Einträge für 'Thinkpad T520', o.k. das passt, damals gab es SecureBoot noch nicht. Es spricht viel dafür, dass Thinkpads KEK und DB updates automatisch über Windows Update erhalten.

Zusätzliche Informationen

Für weitere Informationen besuchen Sie bitte die Support- und Blogbeiträge von Microsoft zu diesem Thema:

• Windows Ablauf von Secure Boot-Zertifikaten und CA-Updates - Microsoft Support
• Jetzt handeln: Secure Boot-Zertifikate laufen im Juni 2026 ab - Windows IT Pro Blog
• Windows Geräte für Heimanwender, Unternehmen und Schulen mit Microsoft-verwalteten Updates - Microsoft Support
• Windows Geräte für Unternehmen und Organisationen mit IT-verwalteten Updates - Microsoft Support
• Updates der Secure Boot-Zertifikate: Anleitung für IT-Profis und Organisationen - Microsoft Support

Weblinks

• Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs
• 2011 Microsoft Secure Boot Certificate Expiration – Lenovo Commercial PCs] (mit Liste der unterstützten Lenovo-Modelle und BIOS-Versionen)
• Diskussion im ThinkPad-Forum
• Wie kann ich testen, ob die Zertifikate erneuert wurden? (bei tech-support.koeln)
• cjee21/Check-UEFISecureBootVariables
• grub-Befehl auf Dual-Boot-System (im ThinkPad-Forum)
• Anleitung zu Secure Boot-Zertifikatsupdates für IT-Profis und Organisationen - Automatisierte Bereitstellungshilfen (bei Microsoft)
• Anleitung zu Secure Boot-Zertifikatsupdates für IT-Profis und Organisationen - Deployment-Methoden, die nicht abgedeckt sind (bei Microsoft)