Windows 11 26H1: Secure-Boot-Zertifikate 2011 laufen 2026 ab

Die Zertifikatskaskade: Drei Stichtage im Juni und Oktober

Die digitale Infrastruktur der Windows-Welt steht vor einer Deadline, die tief in den Boot-Prozess der Hardware eingreift. Wie AD HOC NEWS berichtet, verlieren drei zentrale Secure-Boot-Zertifikate aus dem Jahr 2011 ihre Gültigkeit. Der Prozess beginnt am 24. Juni mit dem Ablauf des „Microsoft Corporation KEK CA 2011“.

„Nur drei Tage später folgt das „Microsoft UEFI CA 2011“

AD HOC NEWS

Den Abschluss bildet am 19. Oktober der Ablauf des „Microsoft Windows Production PCA 2011“. Diese Zertifikate sind das Fundament der Boot-Sicherheit. Ein Ablauf bedeutet nicht, dass PCs plötzlich nicht mehr starten. Das System bootet weiterhin, doch die Fähigkeit, neue Secure-Boot-Datenbanken, Sperrlisten und Patches gegen Schwachstellen auf Boot-Ebene zu installieren, endet faktisch. Das Risiko ist konkret: Angriffe wie BlackLotus, die bereits vor dem Start des Betriebssystems zuschlagen, lassen sich ohne diese Updates nicht mehr effektiv abwehren. Microsoft rollt zwar seit 2023 Ersatzzertifikate aus, doch die Umsetzung ist ungleichmäßig.

Windows 11 26H1: Beschleunigte Entwicklung und technische Hürden

Um die Integrität der Systeme zu wahren, hat Microsoft die Entwicklung der Version 26H1 deutlich forciert. Laut Borncity wurden bereits aktualisierte ISO-Images für die Versionen 24H2, 25H2 und 26H1 über MSDN bereitgestellt. Die Version 26H1 stützt sich dabei auf die Sicherheitsverbesserungen des Mai-Patchdays, bei dem am 12. Mai 120 Sicherheitslücken geschlossen wurden. Davon wurden 17 als kritisch eingestuft, wobei 14 die Ausführung von Schadcode aus der Ferne ermöglichten. Parallel dazu gibt es eine strukturelle Änderung im Windows Insider-Programm: Die Kanäle „Dev“ und „Canary“ wurden in „Experimental“ und „Experimental Future Platforms“ umbenannt. Die aktuelle Build 26300.8497 fokussiert sich auf verbesserte Treiberunterstützung und Barrierefreiheitsfunktionen, um die Zusammenarbeit mit KI-fähigen Webumgebungen zu standardisieren. Die technische Umsetzung des Zertifikatswechsels über das Update KB5089549 erweist sich jedoch als komplex. Administratoren berichten von Blockaden auf Systemen mit Legacy-BIOS oder deaktiviertem Secure Boot. Ein häufiges Problem ist der Fehler 0x800f0922, der auf zu wenig Speicherplatz auf den EFI-Partitionen zurückzuführen ist.

Die Windows-10-Falle und das ESU-Programm

Während Windows-11-Nutzer die notwendigen Updates meist automatisch erhalten, entsteht für Windows-10-Anwender eine gefährliche Lücke. Nur Nutzer, die am kostenpflichtigen Extended Security Updates (ESU)-Programm teilnehmen, erhalten die neuen Zertifikate. Alle anderen riskieren, ab Juli 2026 ohne Boot-Sicherheitsupdates dazustehen. Dies schafft eine Zweiklassengesellschaft bei der Systemsicherheit. Wer nicht zahlt oder nicht auf Windows 11 migriert, bleibt auf einer veralteten Zertifikatskette sitzen. Da ältere Hardware oft zusätzliche Firmware-Updates der Hersteller benötigt, um die neue Zertifikatskette zu unterstützen, ist die Situation für IT-Administratoren prekär. Die Prüfung, ob das Zertifikat „Microsoft UEFI CA 2023“ bereits vorhanden ist, wird zur kritischen Aufgabe.

Firmware-Chaos: Wenn Updates zum Risiko werden

Die Dringlichkeit des Zertifikatswechsels kollidiert mit einer instabilen Update-Historie. PC-WELT weist darauf hin, dass mehrere Patchdays in den letzten Monaten massive Probleme verursachten:

• Oktober 2025: Ein Update zerstörte die USB-Eingabe in der Wiederherstellungsumgebung (Windows RE).
• Januar 2026: Das Sicherheitsupdate KB5074109 löste den Stop-Code 0xED (UNMOUNTABLE_BOOT_VOLUME) aus.
• März 2026: Das optionale Update KB5079391 führte zu Boot-Schleifen und musste zurückgezogen werden.
• April 2026: Updates KB5083769 und KB5082052 lösten unerwartete BitLocker-Recovery-Abfragen aus.

Diese Instabilität wird durch ein aktuelles Desaster bei HP verschärft. Automatische BIOS-Updates über Windows Update führten bei High-End-Modellen wie dem ZBook Ultra G1a und dem EliteBook X G1a zu Boot-Loops und Hardware-Ausfällen. Betroffen sind vor allem Geräte mit Intel-Xeon-W-Chipsätzen und Hybrid-Grafikkonfigurationen – Hardware, die teilweise über 4.000 Euro kostet. Die Schwere dieses Vorfalls hat dazu geführt, dass die US-Handelsbehörde FTC die Regeln für Firmware-Updates verschärft. In einer Umgebung, in der ein falsches BIOS-Update ein teures Gerät unbrauchbar macht, ist die Empfehlung, aktuelle ISO-Dateien (wie die von Windows 11 25H2) als Reserve für Bootmedien zu sichern, keine Paranoia mehr, sondern notwendige Systempflege. Die kommenden Wochen bis Ende Juni werden zeigen, ob der beschleunigte Rollout von 26H1 die Zertifikatskrise glättet oder ob die technischen Hürden bei EFI-Partitionen und Legacy-Systemen zu einer neuen Welle von instabilen Systemen führen. Für Nutzer von Windows 10 ohne ESU-Vertrag bleibt nur der Wechsel auf ein neueres Betriebssystem, um nicht schutzlos gegenüber Boot-Level-Exploits zu werden.