Ablaufdatum im UEFI-Bios: praktisch alle PCs betroffen - Secure Boot Zertifikate laufen ab.
Alle PCs sind nicht betroffen nur die , die kein Update erhalten haben .

https://s3nnet.de/s3ntube-ablaufdatum-im-uefi-bios-praktisch-alle-pcs-betroffen-secure-boot-zertifikate-laufen-ab/

checkt mal Euer Bios,
bei mir ist alles ok .

Windows wird wohl eigenständig das Zertifikat im UEFI Updaten. Ebenso sollte ein Linux dazu in der Lage sein.

Das mag zwar sein aber trotzdem sollte man vorher im Bios
checken das man keine Überraschung erlebt ,
man kann das bei meinem PC auch ganz deaktivieren ob danach noch
Windows 11 geht weiß ich nicht ?
bei mir steht 2023 also habe ich die Neuen schon drauf,
der PC ist ja Neu von 2024 das Bios von 2024.

Alle neueren BIOSse haben die Zertifikate drin oder laden sie direkt von Servern des Herstellers. Einfach mal das BIOS aktualisieren und wenn das nicht geht, kann man Secureboot ganz abschalten.

Sollte so sein aber ob das alle machen garantiert dir keiner ,
der PC plötzlich nicht mehr Windows oder Linux startet bekommt man auch folglich keine Updates , auf jeden Fall ist es besser wenn man da vorher erst mal guckt
So ist ja auch mein Hinweis gemeint..

Die Welt geht unter, ganz sicher!

So Neu ist das Thema nun auch nicht es kam schon im Januar zur Diskussion.
Spaßig wie der über mir finde ich das gar nicht,
mein erst 2 Jahre altes Gamer Book Gigabyte da gibt es kein Neues Bios Update da ist die Alte Signatur noch drauf
und wenn ich da nicht aufpasse kann ich es bald auf den Müll entsorgen ,
u.a. werden auch heute 2 oder 3 Jahre Alte Mainboards neu verkauft wofür es keine aktuelle Bios Version gibt, toll.
k.A was diese Gidabyte Signatur ist ? die haben meine Desktop PCs nicht .


Warum fummelt Microsoft an den Signaturen rum gibt es
dafür einen Grund ?

old

Microsoft Corporation KEK CA 2011
Microsoft Corporation UEFI CA 2011

Bei meinen Neuen Desktop PCs ist Secure Boot deaktiviert vom Hersteller
default mäßig, kann ich das einschalten oder soll ich das lieber lassen ?

Windows wird wohl eigenständig das Zertifikat im UEFI Updaten. Ebenso sollte ein Linux dazu in der Lage sein.

Warum kann eine Software außerhalb der Firmware das Boot-Zertifikat manipulieren?
Das führt doch Secure-Boot noch mehr ad absurdum als es sowieso schon ist.

Das mit den Windows Updates ist eh ein schlechter Witz was machen die ,
die Windows 8 oder 10 haben, 11 nicht darauf läuft ab Oktober keine Updates mehr gibt ,
für 8 wurde ja schon lange eingestellt ....
Hersteller keine Neuen Bios Updates bereit stellen weil der PC schon etwsa Älter ist,
schaltet Microsoft Alle diese PCs ab die Leute kucken dann in die Röhre , ob das Rechtlich so Zulässig ist , ist eine andere Sache das plötzlich der eigene PC ein Ablaufdatum hat.
Die Zertifikat Abfrage kann man ja vielleicht im Bios deaktivieren das der PC dann wieder geht, nur das weiß nicht jeder.

Warum kann eine Software außerhalb der Firmware das Boot-Zertifikat manipulieren?
Das führt doch Secure-Boot noch mehr ad absurdum als es sowieso schon ist.

Eventuell ist der prozess auch extra eingeplant und nicht manipulierbar. Ich kann mir auch vorstellen, dass nur das ablaufdatum verlängert wird, und sonst alles wie gehabt gleich bleibt.

Die gegenseite muss ja nichts neu generieren oder erstellen. Der kreis ist ja schon geschlossen und wird durch das update nicht unterbrochen.

Wenn man die neuen Zertifikate von MS nicht installiert, sollte das eigentlich nur dazu führen, dass alle mit diesen neuen Zertifikaten signierten Updates nicht mehr funktionieren. Alles bestehende ist davon nicht betroffen, denn das ist ja mit den bereits vorhandenen Zertifikaten signiert.
Ihr könnt ja einfach mal testen, das Jahr im Firmware-Setup auf 2027 zu stellen. Das sollte keine Probleme machen.

Nur wenn jetzt ein Windows-Update kommt, was mit den neuen Zertifikaten von MS signiert ist, wird sich das nicht installieren lassen, da diese Zertifikate ja unbekannt sind und damit nicht akzeptiert werden.


In jedem Fall muss man da jetzt keine Panik schieben. Wenn man das Update verpasst, kann man es nachholen. Der PC ist dann nicht einfach so gebrickt.

Bei Retail-Mobos kann man doch meistens sowieso über das Firmware-Setup auch eigene Keys installieren. Da sollte es sowieso möglich sein, das Update im Zweifel auch manuell zu machen

Hier wird ne Menge durcheinander geworfen.

Das Zertifikat im UEFI hat nur die Funktion das man bei signierten Bootloadern sicher sein kann das diese nicht modifiziert wurden.
Windows bzw. Windows Update hat seine ganz eigenen Zertifikate, die haben damit nichts am Hut.

Und man kann Zertifikate auch nicht einfach verlängern, dass sie irgendwann Ablaufen ist so vorgesehen.

Es gibt im Web so gut wie keine Richtige Aufklärung darüber die Werbung ist den Webseitenbetreibern viel wichtiger,
kann man hier den Lesen und Usern keinen Vorwurf machen ,
ich weiß es übrigens auch nicht welche Zertifikate Windows wirklich brauchte welche nicht,
vielleicht kannst du Uns mal aufklären?

Bei halbwegs moderner Hardware ist das aber auch einfach kein Thema, nur bei Methusalem-Systemen...

Firma Gigabyte wusste bislang von diesem Problem auch noch nichts,
das Bios auf meinem Laptop ist 2 Jahre Alt,
das Laptop ist erst 2 Jahre Alt also noch Neu,
da ist nichts von einer neuen Signatur zu sehen.

Ich könnte von meinem neuen Desktop PC hier die Signatur exportieren diese Funktion hat das BIOS bloß ob das Laptop problemlos nimmt ?
es gibt leider darüber im Internet überhaupt keine Informationen.

Bei manchen Webshops liegen manchmal Neue PCs 1 bis 2 Jahre auf Lager
bis sich ein Käufer findet werden nicht genutzt keine Updates,
die werden Alle nicht mehr funktionieren nächstes Jahr,
das Böser Erwachen kommt dann.

Die Zertifikate die Windows braucht, managed Windows selbst - da sollte niemand Hand anlegen müssen.

Bezüglich UEFI-Zertifikat:
Soweit ich das überblicke gibt es 2 Möglichkeiten wenn das Zertifikat abgelaufen ist.
- Windows bootet nicht mehr, UEFI spuckt vermutlich Fehler aus.
- Windows bootet normal, UEFI spuckt Warnung aus.

In beiden Fällen sollte es helfen SecureBoot zu deaktivieren.

In beiden Fällen sollte es helfen SecureBoot zu deaktivieren

Bei 2 meinen Neuen Desktop PCs vom gleichem Hersteller war es durch den Hersteller deaktiviert aber die Neue Signatur schon drauf sehr schön:smile:
Klar kommt man da zur Not wieder rein wenn man das weiß Abschaltet,
nur der Otto Normalverbraucher der bei Neckermann seinen Komplett PC bestellt hatte weiß das natürlich nicht ist damit auch überfordert , die PCs die in den ganzen Büros stehen da guckt der Benutzer auch nicht jeden Tag ins BIOS rein, sind vielleicht auch einige Server betroffen von dem Problem.

Die Bürorechner werden von den Firmen selbst betreut und wenn nicht haben sie zumindest einen Dienstleister der das übernimmt.
In allen anderen Fällen ist Ihnen sowieso nicht mehr zu helfen.

Ich verstehe auch nicht warum du dir den Kopf darüber zerbrichst was Firmen tun, es muss jede Firma selbst entscheiden und verantworten.

Und bei fertig Laptops ist normalerweise Software vorinstalliert die auch BIOS Updates einspielen kann (allgemein als Bloatware bekannt).

Viele Fertig-PCs haben SecureBoot noch nicht einmal aktiviert.

Ich verstehe die ganze Aufregung nicht wirklich.