Ablaufdatum im UEFI-Bios: praktisch alle PCs betroffen - Secure Boot Zertifikate laufen ab.
Alle PCs sind nicht betroffen nur die , die kein Update erhalten haben .

https://s3nnet.de/s3ntube-ablaufdatum-im-uefi-bios-praktisch-alle-pcs-betroffen-secure-boot-zertifikate-laufen-ab/

checkt mal Euer Bios,
bei mir ist alles ok .

Windows wird wohl eigenständig das Zertifikat im UEFI Updaten. Ebenso sollte ein Linux dazu in der Lage sein.

Das mag zwar sein aber trotzdem sollte man vorher im Bios
checken das man keine Überraschung erlebt ,
man kann das bei meinem PC auch ganz deaktivieren ob danach noch
Windows 11 geht weiß ich nicht ?
bei mir steht 2023 also habe ich die Neuen schon drauf,
der PC ist ja Neu von 2024 das Bios von 2024.

Alle neueren BIOSse haben die Zertifikate drin oder laden sie direkt von Servern des Herstellers. Einfach mal das BIOS aktualisieren und wenn das nicht geht, kann man Secureboot ganz abschalten.

Sollte so sein aber ob das alle machen garantiert dir keiner ,
der PC plötzlich nicht mehr Windows oder Linux startet bekommt man auch folglich keine Updates , auf jeden Fall ist es besser wenn man da vorher erst mal guckt
So ist ja auch mein Hinweis gemeint..

Die Welt geht unter, ganz sicher!

So Neu ist das Thema nun auch nicht es kam schon im Januar zur Diskussion.
Spaßig wie der über mir finde ich das gar nicht,
mein erst 2 Jahre altes Gamer Book Gigabyte da gibt es kein Neues Bios Update da ist die Alte Signatur noch drauf
und wenn ich da nicht aufpasse kann ich es bald auf den Müll entsorgen ,
u.a. werden auch heute 2 oder 3 Jahre Alte Mainboards neu verkauft wofür es keine aktuelle Bios Version gibt, toll.
k.A was diese Gidabyte Signatur ist ? die haben meine Desktop PCs nicht .


Warum fummelt Microsoft an den Signaturen rum gibt es
dafür einen Grund ?

old

Microsoft Corporation KEK CA 2011
Microsoft Corporation UEFI CA 2011

Bei meinen Neuen Desktop PCs ist Secure Boot deaktiviert vom Hersteller
default mäßig, kann ich das einschalten oder soll ich das lieber lassen ?

Windows wird wohl eigenständig das Zertifikat im UEFI Updaten. Ebenso sollte ein Linux dazu in der Lage sein.

Warum kann eine Software außerhalb der Firmware das Boot-Zertifikat manipulieren?
Das führt doch Secure-Boot noch mehr ad absurdum als es sowieso schon ist.

Das mit den Windows Updates ist eh ein schlechter Witz was machen die ,
die Windows 8 oder 10 haben, 11 nicht darauf läuft ab Oktober keine Updates mehr gibt ,
für 8 wurde ja schon lange eingestellt ....
Hersteller keine Neuen Bios Updates bereit stellen weil der PC schon etwsa Älter ist,
schaltet Microsoft Alle diese PCs ab die Leute kucken dann in die Röhre , ob das Rechtlich so Zulässig ist , ist eine andere Sache das plötzlich der eigene PC ein Ablaufdatum hat.
Die Zertifikat Abfrage kann man ja vielleicht im Bios deaktivieren das der PC dann wieder geht, nur das weiß nicht jeder.

Warum kann eine Software außerhalb der Firmware das Boot-Zertifikat manipulieren?
Das führt doch Secure-Boot noch mehr ad absurdum als es sowieso schon ist.

Eventuell ist der prozess auch extra eingeplant und nicht manipulierbar. Ich kann mir auch vorstellen, dass nur das ablaufdatum verlängert wird, und sonst alles wie gehabt gleich bleibt.

Die gegenseite muss ja nichts neu generieren oder erstellen. Der kreis ist ja schon geschlossen und wird durch das update nicht unterbrochen.

Wenn man die neuen Zertifikate von MS nicht installiert, sollte das eigentlich nur dazu führen, dass alle mit diesen neuen Zertifikaten signierten Updates nicht mehr funktionieren. Alles bestehende ist davon nicht betroffen, denn das ist ja mit den bereits vorhandenen Zertifikaten signiert.
Ihr könnt ja einfach mal testen, das Jahr im Firmware-Setup auf 2027 zu stellen. Das sollte keine Probleme machen.

Nur wenn jetzt ein Windows-Update kommt, was mit den neuen Zertifikaten von MS signiert ist, wird sich das nicht installieren lassen, da diese Zertifikate ja unbekannt sind und damit nicht akzeptiert werden.


In jedem Fall muss man da jetzt keine Panik schieben. Wenn man das Update verpasst, kann man es nachholen. Der PC ist dann nicht einfach so gebrickt.

Bei Retail-Mobos kann man doch meistens sowieso über das Firmware-Setup auch eigene Keys installieren. Da sollte es sowieso möglich sein, das Update im Zweifel auch manuell zu machen

Hier wird ne Menge durcheinander geworfen.

Das Zertifikat im UEFI hat nur die Funktion das man bei signierten Bootloadern sicher sein kann das diese nicht modifiziert wurden.
Windows bzw. Windows Update hat seine ganz eigenen Zertifikate, die haben damit nichts am Hut.

Und man kann Zertifikate auch nicht einfach verlängern, dass sie irgendwann Ablaufen ist so vorgesehen.

Es gibt im Web so gut wie keine Richtige Aufklärung darüber die Werbung ist den Webseitenbetreibern viel wichtiger,
kann man hier den Lesen und Usern keinen Vorwurf machen ,
ich weiß es übrigens auch nicht welche Zertifikate Windows wirklich brauchte welche nicht,
vielleicht kannst du Uns mal aufklären?

Bei halbwegs moderner Hardware ist das aber auch einfach kein Thema, nur bei Methusalem-Systemen...

Firma Gigabyte wusste bislang von diesem Problem auch noch nichts,
das Bios auf meinem Laptop ist 2 Jahre Alt,
das Laptop ist erst 2 Jahre Alt also noch Neu,
da ist nichts von einer neuen Signatur zu sehen.

Ich könnte von meinem neuen Desktop PC hier die Signatur exportieren diese Funktion hat das BIOS bloß ob das Laptop problemlos nimmt ?
es gibt leider darüber im Internet überhaupt keine Informationen.

Bei manchen Webshops liegen manchmal Neue PCs 1 bis 2 Jahre auf Lager
bis sich ein Käufer findet werden nicht genutzt keine Updates,
die werden Alle nicht mehr funktionieren nächstes Jahr,
das Böser Erwachen kommt dann.

Die Zertifikate die Windows braucht, managed Windows selbst - da sollte niemand Hand anlegen müssen.

Bezüglich UEFI-Zertifikat:
Soweit ich das überblicke gibt es 2 Möglichkeiten wenn das Zertifikat abgelaufen ist.
- Windows bootet nicht mehr, UEFI spuckt vermutlich Fehler aus.
- Windows bootet normal, UEFI spuckt Warnung aus.

In beiden Fällen sollte es helfen SecureBoot zu deaktivieren.

In beiden Fällen sollte es helfen SecureBoot zu deaktivieren

Bei 2 meinen Neuen Desktop PCs vom gleichem Hersteller war es durch den Hersteller deaktiviert aber die Neue Signatur schon drauf sehr schön:smile:
Klar kommt man da zur Not wieder rein wenn man das weiß Abschaltet,
nur der Otto Normalverbraucher der bei Neckermann seinen Komplett PC bestellt hatte weiß das natürlich nicht ist damit auch überfordert , die PCs die in den ganzen Büros stehen da guckt der Benutzer auch nicht jeden Tag ins BIOS rein, sind vielleicht auch einige Server betroffen von dem Problem.

Die Bürorechner werden von den Firmen selbst betreut und wenn nicht haben sie zumindest einen Dienstleister der das übernimmt.
In allen anderen Fällen ist Ihnen sowieso nicht mehr zu helfen.

Ich verstehe auch nicht warum du dir den Kopf darüber zerbrichst was Firmen tun, es muss jede Firma selbst entscheiden und verantworten.

Und bei fertig Laptops ist normalerweise Software vorinstalliert die auch BIOS Updates einspielen kann (allgemein als Bloatware bekannt).

Viele Fertig-PCs haben SecureBoot noch nicht einmal aktiviert.

Ich verstehe die ganze Aufregung nicht wirklich.

Ich weiss nicht ob das bei allen so ist, aber ohne aktives Secureboot könnte bei meinem Mainboard (ASUS X370 Prime-A) kein BAR aktivieren.
Secureboot abzuschalten würde dann, je nach Grafikkarte, ordentlich Leistung kosten.

Machen andere Mainboardhersteller das nicht?

Ich habe noch kein Mainboard geshen, dass r-BAR an Secureboot koppelt.

Zudem halte ich r-BAR immer noch für einen der grössten HOAXES überhaupt...die damit in gewissen Szenarien (Spiel, Auflösung, Qualitätseinstellungen, verwendete CPU, verwendete GPU) gewonnenen <5% an Performance, verliert man anderswo dann wieder und mehr.

Imho kommt da am Schluss mit Glück überhaupt ein Nullsummenspiel heraus...daher wayne r-BAR?

Das ist villeicht bei NV so, bei AMD gibts jedoch massive Gewinne und rBAR und bei Intel läufts gar nicht erst ohne rBAR. Von wegen Hoax, was fürn Schwachsinn...

___________


Man kann Secureboot beruhigt anmachen, es wird keine Fehler geben.

r-BAR ist nicht mit Secure Boot gekoppelt.

Hier etwas mehr Infos:

https://www.borncity.com/blog/2025/06/30/microsofts-uefi-secure-boot-zertifikat-laeuft-im-juni-2026-ab/

Es ist ja sehr schön das Microsoft versucht zu informieren statt zu helfen, einige PCs
und Notebooks werden dann nicht mehr laufen .
Auf der Microsoft Update Seite vom 19.08.25 (https://support.microsoft.com/de-de/topic/12-august-2025-kb5063878-betriebssystembuild-26100-4946-e4b87262-75c8-4fef-9df7-4a18099ee294) viel blaa blaa,
keine Rede davon das Microsoft Update das automatisch einspielt ,
einen Hinweis dazu kann ich leider nicht finden .

Für meine zwei Gamer Notebooks Asus und Gigabyte gibt es immer noch kein aktuelles Bios Update .

Microsoft installiert keine Bios Updates (außer vielleicht bei Surface Geräten).

Wende dich an Asus und/oder Gigabyte.
Das ist deren Hardware also sind sie die einzigen die Bios Updates herausgeben können.

Microsoft installiert keine Bios Updates (außer vielleicht bei Surface Geräten).

Hersteller können Firmware Updates über Windows Update ausliefern. HP macht das z.B.

Hersteller können Firmware Updates über Windows Update ausliefern. HP macht das z.B.

Stimmt. KÖNNEN, wenn sie wollen. Wenn sie das NICHT anbieten ist es aber wohl immer noch ein Hersteller Problem und nicht ein Windows Update Problem? (Es sei denn MS würde die Verteilung per WU blockieren oder so, was aber wohl erstmal zu belegen wäre).

Microsoft installiert keine Bios Updates (außer vielleicht bei Surface Geräten).

Wende dich an Asus und/oder Gigabyte.
Das ist deren Hardware also sind sie die einzigen die Bios Updates herausgeben können.


Da ist und kommt nichts .

Es geht nicht um Bios Updates sondern um das erneuern von Zertifikaten damit Windows weiter startet.

Bei den Gigabyte habe ich ja noch die Möglichkeit manuell zu installieren im Bios
da gibt es Einstellungen löschen oder update ist aber kompliziert,
beim Asus gar nicht .

War mal die Rede dass das über das Microsoft Update passieren soll nun ist nicht mehr die Rede davon, erst 2 oder 3 Jahre Alte PCs landen nun schon auf den Müll.:P

Natürlich nicht Updates werden versendet und wenn die Dinger nicht zurück kommen wird das verteilen abgebrochen.
Das passiert mit Leuten die im Win11 Preview Ring sind.

Bei meinen 2 Neuen Desktop PCs kann man ja diese Funktion im Bios ganz deaktivieren da sind aber schon die Neuen zu den Alten mit drauf, so das es mit Alten Windows Versionen und Neuen keine Probleme gibt , da muss ich mir keine Sorgen machen .
Was ich aber gelesen habe ist, wenn man jetzt die Neuen Zertifikate schon hat hätte ich beinahe gemacht, soll man auf gar keinen Fall jetzt schon installieren, könnte sein das Windows dann nicht mehr bootet auf keinem fall bzw. die Alten Zertifikate durch Neue ersetzten.
Im Umgekehrten Sinne später will man ein Altes System Backup wieder darauf zurücksetzen dann wird es wohl auch Probleme gegen wenn Alte Zertifikate gelöscht sind die also drinnen lassen wenn möglich.

Bei meinem Gigabyte Notebook gibt es die Funktion, Löschen das lasse ich lieber und Update da weiß ich aber nicht, ob die alten Zertifikate überschrieben werden oder die neuen Mörder zu installiert werden da lässt sich erstmal die Finger raus.

So es ist wieder so weit bei den beiden Notebooks kam nicht ein mal über das Windows Update die Secure-Boot-Zertifikate,
obwohl über die Fake News behauptetet wird das Microsoft das seit einer weile einspielt . Asus,Gigabyte sind bekannte Hersteller es existiert ein Microsoft Konto.
Nichts ist über das Microsoft Update bekommen ,
ich behaupte mal das ist eine Lüge und Unwissenheit der Autoren die sowas veröffentlichen ?


Ich habe vorsorglich im Bios
Windows Secure-Boot-Zertifikate deaktiviert damit keine unangenehme Überraschung erlebe .
ich halte das für ein Neues Sicherheits-Risiko wenn das An ist, könnten ja falsche Zertifikate durch Schadcod installiert werden wenn das so einfach gegen sollte über Windows Update .
Bei diesem PC hier gekauft 2024 sind die Neuen Secure-Boot-Zertifikate zwar drauf, aber die Secure-Boot-Zertifikate Funktion ist im Bios Standardmäßig
ausgeschaltet gewesen,
ich mache die jetzt auch wieder auf Aus, das hat sicherlich seine Gründe worum der Hersteller dieses Mini PCS das so gemacht hat.

Ja die gleichen Gründe wie manch großer Serverhersteller ECC beim RAM deaktiviert.

Weniger Kundentickets/-Beschwerden. Sicherheit ist denen doch kackegal.

Ich denke mal das dieses Secure-Boot-Zertifikate nur Wichtig ist
wenn man oft von verschieden von fremden Datenträgern öfters den PC bootet ,
oder fremde Datenträger am PC anschließt, was hier eh nie der Fall ist ,
Ältere PCs haben ja diese Funktion nicht im Bios und da ist oft Windows 10 installiert .
Ganz Alte PCs hatten ja früher im Bios die Funktion Boot.Sek oder so ,
da wurde der Bootsektor der HDD Schreibgeschützt das ist meiner viel Sinnvolle gewesen da gab es das Problem mit den Zertifikaten nicht,
wenn man dann z.b. von Windows auf Linux wechseln wollte musste man lediglich nur im Bios das nur kurz frei geben das der Bootsekttor Neu erstellt werden konnte .
Ich lasse das hier lieber auf ausgeschaltet weil es ja angeblich möglich ist das Updates dieses Zertifikate installieren können,
wenn da z.b ein Trojaner was installieren danach der PC nicht mehr läuft .

Alles wird gut :)

https://www.computerbase.de/news/betriebssysteme/patchday-fuer-windows-11-microsoft-verteilt-neue-secure-boot-zertifikate.96103/

MfG
Rooter

ich habe das bei Allen PCs deaktiviert das lasse ich auch so,
halte das für ein Neues Sicherheitsrisiko mit den Secure-Boot-Zertifikaten,
da könnten z.B durch Schad-Code manipulierte installiert werden der Windows Defender merkt es vielleicht nicht.

So, mal zu Beruhigung. Wenn Secure Boot aktiviert ist, dann wird in die Datenbank eures Flashes die neuen Keys eingespielt.

Dazu braucht es kein BIOS update oder sontiges.

Wer Secure Boot deaktiviert wird keine Keys bekommen, logisch was deaktiviert ist nicht da.

Es liegt einfach daran, dass von vielen Seiten Schlagzeilen kommen. Wie z.*B.: „Ihr PC ist 2026 nicht mehr benutzbar“ – „Windows und das Secure Boot Desaster!“

Warum sind Zertifikate so wichtig! Für versierte Nutzer wie hier im Forum scheint es unnötig zu sein, wir sind ja nicht so bescheuert irgendeinen Schmarrn zu installieren. Leider besteht die Welt nicht nur aus Cracks wie uns, da gibt es doch genügend DAUs, einfach Anwender, die es zumindest schon mal gelernt haben, wie eine Maus klickt und man auch alles installieren kann. Genau dafür ist dies eine Sicherheitsmaßnahme. Auch wenn Wege gefunden werden, die wieder diesen Schutz aushebeln können.

Secure Boot an, dann zieht euer System schon die Daten. Wer Secure Boot aus hat, da laufen dann irgendwann keine Updates mehr. Falls es irgendeinen Fehler gibt, dass die Zertifikate nicht auf euer System wollen. Dann wird Windows weiterhin laufen, gibt ja genügend die bei Win10 noch sind.

Also keine PANIK.

Windows wird wohl eigenständig das Zertifikat im UEFI Updaten.

Macht Windows 10 interessanterweise nur dann, wenn im ESU-Modus unterwegs. Ansonsten verweigert es Microsoft, das vorhandene Update einzuspielen.

So, mal zu Beruhigung. Wenn Secure Boot aktiviert ist, dann wird in die Datenbank eures Flashes die neuen Keys eingespielt.
Was hindert eine Schadsoftware daran, das selbe zu tun?

ich finde das eh sehr verwirrend ,
1 x heißt es das man ein Bios Update braucht dann
heißt es das Microsoft das irgend in Windows ein speichert .:confused:
Und wenn man vor eine weile sich die Windows.iso runter geladen hat
und Windows Neu installiert ist das gleich automatisch mit drin oder wie ?:eek:
Ich lasse das Aus wer weiß, was es da noch so für Microsoft Überraschungen gibt.

Win 11 läuft hier bislang nur auf Business Surface Geräten.
Denke mal, da kommen dann automatisch Updates.
Desktop Gaming läuft noch auf Windows 10. OS ursprünglich alt und immer neues OS drüber gebügelt. Nicht wirklich Lust, da noch beizugehen. (CSM/Legacy Mode)

Macht Windows 10 interessanterweise nur dann, wenn im ESU-Modus unterwegs. Ansonsten verweigert es Microsoft, das vorhandene Update einzuspielen.


Das ist mal wieder Makroslop mäßig richtig mies und schäbig.



Recap:

Win 7 PC - Läuft problemlos. War auch noch tatsächlich ein funktonierendes OS.
Selber PC auch mit Win 10 - MS IDGAF weil ich kein MS-Konto/Icloud/was auch immer habe/will. -> sollte ohnehin abgeschaltet sein, sonst abschalten/Linux statt W10.


W11 PC - nie eingeschaltet. Wozu auch? Das neue BF nie gespielt. The fuck do I know ob das jetzt aktuell ist durchs Bios update letztens, oder die W-Updates das jetzt machen.
Die Updates bleiben sowieso noch ein Weile aus, alleine schon um zu sehen was diesmal wieder im Arsch ist. Schlimmstenfalls wird es also Linux-Experience - falls ich durch Secure Boot-Mangel (und fehlendem Zertifikat) von ein paar Spielen im Vorhinein ausgeschlossen bin. Erleichtert höchstens den Wechsel auf Linux.