Today I Learned – Today I Learned …

Secure Boot Zertifikat Update

Secure Boot wurde von Microsoft eingeführt, um schädliche Rootkits zu unterbinden, die beim Starten des PC das Gerät infiltrieren könnten.

Auch Ubuntu unterstützt Secure Boot – evtl. aber nicht der konkrete PC.

Die von Microsoft 2011 erstmals ausgestellten Secure-Boot-Zertifikate laufen ab Juni 2026 ab. Recher, die mit Secure Boot arbeiten, brauchen daher aktualisierte Zertifikate [Datum 2023].

Betroffen sind PC mit Windows 10 bzw. 11 sowie Windows Server – außerdem Geräte, auf denen ursprünglich Windows installiert war oder die zum dualen Booten mehrerer Boetriebsysteme konfiguriert sind.

Was passiert, wenn vor Juni 2026 kein Zertifikat-Update gemacht wird ?

Linux (z. B. Ubuntu) läuft weiter, aber …

  • es kann passieren, dass neue Bootloader-Versionen nicht mehr starten
  • Kernel-Updates mit neuer Signatur abgelehnt werden
  • das System nach einem Update nicht mehr startet
  • Lösungsweg

    1. prüfen, ob Rechner überhaupt Secure Boot unterstützt:
      im Terminal: mokutil --sb-state
      → wenn kein Support → FERTIG
      → wenn Support, dann …
    2. prüfen, welche Zertifikate auf dem PC vorliegen:
      im Terminal mokutil --db | grep -i microsoft
      → es sollte der Eintrag UEFI CA 2023 zu sehen sein, dann Fertig
    3. falls Zertifikate noch auf 2011 lauten, dann Zertifikate im BIOS manuelle aktualisieren oder über den Linux Vendor Firmware Service (LVFS) →
      • im Terminal: fwupdmgr refresh (Aktualisierung anstoßen)
      • nach Updates suchen: sudo fwupdmgr get-updates (und wenn vorhanden …)
      • installieren; sudo fwupdmgr update [anschließend Rechnerneustart]
      • Secure Boot prüfen: mokutil --sb-state

    Update 26.06.2026