Im Heise Newsticker fand sich heute mal wieder ein Beitrag, der die Leute eher verwirrt und dessen Überschrift schon mit einer Lüge anfängt.
Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update | heise online
Worum geht es?
Microsoft hat mit dem Erscheinen von Windows 8 eine Funktion namens „SecureBoot“ eingeführt. SecureBoot sorgt dafür, dass ein PC mit dieser Funktion nur einen Bootloader startet, welcher digital signiert ist. Und zwar entweder von Microsoft oder vom Benutzer selbst. Auch alle weiteren Komponenten, die danach gestartet werden, müssen entsprechend signiert werden.
Microsoft selbst signiert sowohl eigene Bootloader als auch z.B. Bootloader von Linux Distributionen mit Zertifikaten, die von einer speziellen Zertifizierungsstelle ausgestellt werden. Deren Zertifikate waren von 2011 an ca. 15 Jahre gültig und laufen daher im Jahr 2026 ab.
Wenn sie ablaufen und dann Updates installiert würden, die mit den neuen Zertifikaten signiert sind, wird das System vermutlich nicht booten oder die Installation der Updates verweigern. Die Zertifikate müssen also bis dahin ausgetauscht werden. Zudem müssen die entsprechenden Bootloader dann mit den neuen Zertifikaten neu signiert werden.
Was ist zu tun?
Für den Windows Normalnutzer? Nichts!
Microsoft wird die neuen Zertifikate einfach über Windows Update auf alle PCs ausliefern.
Damit ist das Thema eigentlich schon für die große Masse der PC-Nutzer erledigt. Genau das hätte auch in den Artikel bei Heise gehört. Und zwar ganz oben!
Was ist mit Linux Systemen?
Wie oben schon geschrieben, signiert Microsoft auch Bootloader für Linux Systeme. Auch hier müssen natürlich entsprechende Updates eingespielt werden. Dies passiert bereits. Beispielweise wurde hier unter Fedora Linux ein Update „Microsoft KEK CA“ eingespielt.
Die Linux-Distributionen, die SecureBoot unterstützen, müssen also entsprechende Updates rechtzeitig ausliefern und dann später ihre Bootloader neu signieren lassen.
Die Updates stehen per LVFS bereit und werden z.B. über fwupdmgr ausgeliefert, GNOME Software oder KDE Discover.
Wo könnte es Probleme geben?
Microsoft erfordert für Windows Systeme, dass zumindest die minimale Übermittlung von Diagnosedaten aktiv ist, um die passenden Updates zu bekommen. Das ist der Standard, den man in Windows Home und Pro nicht einfach abschalten kann. Es gibt aber Tricks und Möglichkeiten, diese Daten „abzuwürgen“. Wer das getan hat, bekommt die entsprechenden Updates möglicherweise nicht.
Bei einigen PCs des Herstellers Fujitsu hat der Hersteller einen Fehler im BIOS, so dass das Aktualisieren von SecureBoot Datenbanken hier für massive Probleme gesorgt hat. Auch die Aktualisierung der Zertifikate könnte solche Probleme verursachen. Da viele der betroffenen Fujitsu Systeme aus dem Support sind, weigert der Hersteller sich für diese Maschinen, das Problem zu beheben.
Außerdem müssen sich Firmen, die Windows Updates nicht über Windows Update beziehen, damit beschäftigen, die entsprechenden Zertifikate manuell zu verteilen.
Aus dem Grund richtet sich der von Heise zitierte Artikel bei Microsoft auch an die entsprechenden Verantwortlichen in Firmen und nicht an den normalen Heimnutzer.
Das klingt so, als bräuchte ich ein BIOS-Update. Brauche ich eines?
Nein!
Die Hersteller werden die neuen Zertifikate auch im Rahmen von BIOS-Updates verteilen. Sie kommen aber, wie oben ja schon geschrieben, auch über Windows Update.
Die Variante übers BIOS-Update hat einen Vorteil: die neuen Zertifikate können nicht einfach wieder gelöscht werden. Hingegen könnte man die Zertifikate, die über Windows Update kommen, im BIOS-Setup einfach wieder löschen. In der Praxis dürfte das keinen Unterschied ergeben.
Natürlich empfiehlt Microsoft, idealerweise ein aktuelles BIOS einzuspielen. Das ist generell sinnvoll. Es ist aber kein Muss in diesem Zusammenhang.
Leider wird das aus dem Artikel bei Heise nicht deutlich genug, denn in den Kommentaren zum Heise Artikel überschlagen sich die Reaktionen derer, die erwarten, mangels BIOS-Update ihr System nicht mehr weiter nutzen zu können.
Wovor warnt Microsoft denn nun?
Es gibt keine Warnung durch Microsoft! Das ist schlicht etwas, was sich der Redakteur bei Heise ausgedacht hat.
Microsoft informiert über das Vorgehen und ruft Firmenkunden auf, sich mit dem Thema zu beschäftigen. Der originale Artikel ist auch bei Heise verlinkt und nirgendwo ist dort auch nur ein Wort der Warnung zu sehen.
Act now: Secure Boot certificates expire in June 2026 – Windows IT Pro Blog