Auch wenn viele Windows Anwender davon noch nichts gehört haben. Die Secure Boot Zertifikate können Mitte 2026 auf Euren PCs auslaufen. Secure Boot ist eine wichtige Sicherheitsfunktion von Windows-PCs, die dafür sorgt, dass beim Starten (Booten) nur vertrauenswürdige Software geladen wird. Microsoft hat diese Technik mit Windows 8 eingeführt und mittlerweile ist sie auf fast allen modernen Rechnern mit UEFI-Firmware aktiv.

Nun aber das Problem. Einige der zentralen Secure Boot Sicherheitszertifikate laufen Mitte 2026 aus. Was bedeutet das für Dich und Deinen PC? Musst Du evtl. befürchten, dass Dein Rechner ab Juni 2026 nicht mehr startet? In diesem Beitrag erfährst Du alle wichtigen Hintergründe und bekommst Schritt-für-Schritt Anleitungen, wie Du Deinen Windows 10 oder Windows 11 PC vorbereiten kannst. Keine Sorge – wenn Du rechtzeitig handelst, bleibt Dein System sicher und startfähig.

Warum laufen Secure Boot Zertifikate 2026 ab?

Digitale Zertifikate haben eine begrenzte Gültigkeitsdauer. Microsoft hat seit 2011 bestimmte Zertifikate genutzt, um Windows-Bootloader und andere Systemkomponenten zu signieren und somit von Secure Boot überprüfen zu lassen. Diese Original-Zertifikate aus 2011 erreichen nun ihr geplantes Ablaufdatum – die ersten bereits im Juni 2026, weitere dann im Oktober 2026. Nach vielen Jahren im Einsatz ist es also Zeit für eine Ablösung durch neuere Zertifikate. Microsoft hat bereits 2023 neue Secure Boot Zertifikate herausgegeben, die die alten ersetzen sollen. Diese neuen Zertifikate stellen sicher, dass Secure Boot weiterhin reibungslos funktioniert und moderne Sicherheitsstandards erfüllt.

Kurz gesagt: Die bisherigen Secure Boot Zertifikate („Microsoft UEFI CA 2011“ und Co.) werden ungültig, weil ihre Laufzeit endet. Sie werden durch neue Zertifikate aus 2023 abgelöst, damit Secure Boot auch nach 2026 zuverlässig bleibt.

Weitere Informationen zum Windows Secure Boot könnt Ihr auch in unserer Anleitung „Windows Secure Boot: Konfiguration, Vor- und Nachteile, Fehlercodes“ nachlesen.


Windows-FAQ Newsletter

Hier könnt Ihr Euch bei unserem Windows-FAQ Newsletter anmelden.

Betrifft das meinen PC überhaupt?

Sehr wahrscheinlich ja, wenn Du einen PC oder Laptop hast, der irgendwann seit 2012 mit Windows 8, Windows 10 oder Windows 11 ausgeliefert wurde. Secure Boot ist bei fast allen solchen Geräten vorhanden und meist ab Werk aktiviert. Alle Windows-Rechner seit Windows 8 enthalten die fraglichen Microsoft-Zertifikate. Dazu gehören auch virtuelle Maschinen und selbst viele Server. Nur ganz aktuelle Modelle (z.B. spezielle neue PCs ab Ende 2025) könnten eventuell schon von Haus aus die neuen Zertifikate haben. Also lieber prüfen und sich auf ein evtl. Problem vorbereiten!

Auch wenn Du Secure Boot vielleicht nicht bewusst nutzt, ist es vermutlich eingeschaltet. Du kannst das überprüfen, indem Du die Systeminfo aufrufst.

  • Drücke die Windows-Taste + R, tippe msinfo32 ein und drücke Enter. MSINFO32 ist ein Tool zum Auslesen von Hardware und Systeminformationen.
  • Im System-Informationsfenster findest Du den Eintrag “Secure Boot-Status” bzw. „Sicherer Startzustand„. Steht dort “Ein”, ist Secure Boot aktiv. Steht dort “Aus” oder wird nichts angezeigt, ist es deaktiviert (oder Dein PC ist sehr alt und unterstützt es nicht).
Secure Boot Windows Systeminformationen

Beachte bitte: Wenn Secure Boot aktuell ausgeschaltet ist, greift die Zertifikatsprüfung nicht – Dein PC würde dann auch nach 2026 normal starten, aber eben ohne diese Sicherheitsprüfung. Allerdings hast Du dann auch keinen Schutz vor Bootloader-Malware. Wir empfehlen Dir generell, Secure Boot aktiviert zu lassen, sofern es keine besonderen Gründe gibt, es abzuschalten.

Secure Boot per PowerShell prüfen

Du kannst auch per Powershell prüfen, ob Secure Book aktiv ist. Öffne dazu eine PowerShell Konsole oder das Windows Terminal mit Administrator-Rechten und gib dort den Befehl „Confirm-SecureBootUEFI“ ein.

Secure Boot Confirm-SecureBootUEFI

Zeigt Dir der Befehl als Ergebnis „True“ an, so ist auf Deinem PC Secure Boot aktiv.

Was passiert, wenn die Secure Boot Zertifikate ablaufen?

Wenn ein Secure Boot Zertifikat abgelaufen ist, vertraut der Windows PC diesem alten Zertifikat nicht mehr. Ohne ein aktualisiertes Zertifikat kann Secure Boot den Windows-Start möglicherweise blockieren.

Ein Beispiel: Es ist Juni 2026 oder später und Dein PC hat immer noch nur die alten 2011er-Zertifikate. Nun kommt ein Windows-Update mit einem neuen Bootloader, der mit dem neuen 2023er-Zertifikat signiert wurde. Dein PC erkennt nun dieses neue Zertifikat aber noch nicht (weil das Update dafür fehlte) und vertraut dem alten Zertifikat nicht mehr (weil es abgelaufen ist). Das hat zur Folge, das Secure Boot den Bootloader als unbekannt oder nicht vertrauenswürdig einstuft. Das könnte bedeuten, dass Dein Rechner nicht mehr korrekt hochfährt. Evtl. erhältst Du eine Fehlermeldung beim Booten oder landest direkt in den UEFI-Einstellungen.

Wird mein PC ab Mitte 2026 gar nicht mehr starten?

Microsoft und die PC-Hersteller stellen sicher, dass neue Zertifikate rechtzeitig verteilt werden. Wenn Dein System diese Updates erhält, wirst Du den Übergang im Normalfall gar nicht bemerken. Dein PC startet dann auch nach Juni 2026 ganz normal weiter. Aber: Tust Du nichts und ignorierst alle Windows Updates, könnte es tatsächlich passieren, dass Dein PC mit aktiviertem Secure Boot den Dienst verweigert.

Was soll ich machen, wenn meine Secure Boot Zertifikate auslaufen?

Microsoft wird die neuen Secure Boot Zertifikate über Windows-Updates auf die meisten Geräte ausspielen. Du solltest allerdings sicherstellen, dass Dein Rechner diese Updates auch erhält.

Windows aktuell halten und immer die neuesten Updates installieren

Kümmere Dich darum, dass Dein Windows immer auf dem neuesten Stand ist. Pausiere oder blockiere bitte keine Windows-Updates. Für Windows 11 erscheinen weiterhin regelmäßige Sicherheitsupdates, welche die neuen Zertifikate beinhalten oder vorbereiten. Aber auch Windows 10 hat (bis zum Support-Ende im Oktober 2025) entsprechende Updates erhalten.

Öffne die Einstellungen unter Windows Update und klicke dann auf „Nach Updates suchen“. Installiere bitte alle verfügbaren Updates. Falls Dein PC schon länger offline war, solltest Du alle fehlenden Updates nachinstallieren. Wie Du Deine genaue Windows-Version herausfindest, zeigt der Beitrag Windows-Version anzeigen. Dort erfährst Du auch, ob Deine Windows 10/11-Version noch unterstützt wird. (Tipp: Windows 10 Version 22H2 war die letzte reguläre Version – stelle sicher, dass Du mindestens diese Version mit allen letzten Updates installiert hast.)

Windows wegen Secure Boot immer updaten

Secure Boot aktiviert lassen

Wenn Secure Boot derzeit aktiviert ist (siehe oben, Systeminfo), lasse es am besten an. So erhält Dein System die neuen Zertifikate automatisch in die vertrauenswürdige Datenbank eingespielt. Sollte Secure Boot bei Dir deaktiviert sein, kannst Du es grundsätzlich auch ausgeschaltet lassen – dann hast Du zwar nicht den Schutz, aber umgehst eventuelle Startprobleme. Wenn Du Secure Boot später aktivieren möchtest, informiere Dich bitte vorher, ob Dein Gerät die neuen Zertifikate bereits hat.

Wichtige Firmware-Updates einspielen

Schaue bitte auf der Webseite Deines PC-Herstellers nach, ob es ein BIOS-/UEFI-Updates gibt, bei dem etwas wie “Secure Boot Update” oder “Security Update 2025/2026” erwähnt ist. Einige Hersteller könnten ein Firmware-Update bereitstellen, das die Secure-Boot-Schlüssel aktualisiert. Wie man ein BIOS/UEFI-Update durchführt, erklären wir ausführlich in unserem Beitrag „BIOS-Update. Bitte beachte die Hinweise des Herstellers und führe BIOS-Updates nur durch, wenn Du Dich damit etwas auskennst – bei Unsicherheiten lieber fachkundigen Rat einholen.

Datensicherung und BitLocker-Hinweis

Wie immer ist es elementar wichtig, dass Du immer ein aktuelles Backup Deiner wichtigsten Daten hast. Wenn Dein System BitLocker (Laufwerkverschlüsselung) aktiviert hat, prüfe bitte, dass Du Deinen Bitlocker-Wiederherstellungsschlüssel hast. In seltenen Fällen fordert Windows nach Firmware-/Secure-Boot-Änderungen diesen Schlüssel beim Start an, um sicherzugehen, dass wirklich Du es bist, der die Änderung vorgenommen hat.

Secure Boot Zertifikate – Schritt-für-Schritt Anleitung für Windows 11

Für Windows 11 ist die Vorbereitung auf die neuen Secure Boot Zertifikate recht unkompliziert, da Windows 11 bis mindestens 2026 voll supportet wird und Microsoft die Updates direkt bereitstellt.

  • Überprüfe deine Windows-Version: Prüfe bitte, dass Du eine aktuelle Version von Windows 11 verwendest (mindestens 22H2 oder neuer). Öffne „Einstellungen > System > Info“ oder nutze den Tipp aus dem Artikel Windows-Version anzeigen, um zu sehen, welche Version installiert ist. Falls Du noch auf einer sehr alten Version bist, führe am besten ein Funktionsupdate durch, damit Du weitere Updates bekommst.
  • Windows Update ausführen: Öffne Einstellungen und klicke auf Windows Update. Klicke dort auf „Nach Updates suchen“. Installiere alle gefundenen Updates. Achte bitte auch darauf, auch optionale Sicherheitsupdates oder Firmware-Updates (falls angezeigt) mitzunehmen. Windows 11 Updates enthalten seit Ende 2025 Hinweise auf die Secure-Boot-Zertifikatsaktualisierung. Wenn Dein PC auf dem neuesten Stand ist, hast Du vermutlich schon alles Nötige erhalten. Sollte ein Update nicht klappen oder hängen, folge den Anleitungen Windows Update reparieren oder Windows Update Cache leeren, um das Problem zu lösen.
  • Secure Boot Status prüfen: Wie oben beschrieben, kontrolliere bitte mit msinfo32, ob Secure Boot bei Dir „Ein“ ist. Falls ja, gut so – Dein System nimmt die Änderungen automatisch an. Sollte es „Aus“ sein, überlege warum. Wenn Du Secure Boot bewusst deaktiviert hast (z.B. für ein zweites Betriebssystem), kannst Du es auch erstmal so belassen, um keine Überraschungen zu erleben. Willst Du es wieder aktivieren, dann am besten nach den erfolgreichen Updates. Du kannst Secure Boot bequem einschalten, indem Du ins UEFI-Setup gehst. Wie das funktioniert, zeigen wir Dir im Beitrag „Wie komme ich ins UEFI oder ins BIOS?. Im Firmware-Menü findest Du die Einstellung Secure Boot, die Du auf Enabled/Aktiviert setzen kannst. Speichere danach die Änderungen und starte den PC anschließend einmal neu.
  • UEFI-Firmware aktualisieren (optional): Wie bereits erwähnt, schau nach BIOS/UEFI-Updates beim Hersteller. Dies ist unter Windows 11 meist nicht zwingend nötig, da Microsoft die Zertifikate via Windows Update verteilt. Trotzdem schadet es generell nicht, die neueste Firmware einzuspielen, gerade wenn im Changelog etwas von “Security Keys” oder “UEFI CA” steht. Viele neuere Mainboards erhalten Firmware-Updates automatisch über Windows Update – in dem Fall bekommst Du es zusammen mit den Windows-Updates.

Windows 11 Nutzer sind in der Regel gut aufgestellt, was die Secure Boot Zertifikate betrifft.

Secure Boot Zertifikate Windows 10 und Windows 11

Secure Boot Zertifikate – Schritt-für-Schritt Anleitung für Windows 10

Auch Windows 10 ist leider von den auslaufenden Secure Boot Zertifikaten betroffen. Der reguläre Support für Windows 10 hat allerdings bereits am 14. Oktober 2025 geendet. Das heißt, es kommen keine Updates mehr danach. Microsoft hat das Problem aber frühzeitig berücksichtigt und in den letzten Windows 10 Updates entsprechende Zertifikats-Updates integriert. Wenn Du also Windows 10 noch eine Weile weiter nutzen möchtest, solltest Du Folgendes tun:

  • Windows 10 Version prüfen: Prüfe bitte, ob Du Windows 10 Version 22H2 installiert hast. Das war die letzte große Version von Windows 10. Ältere Versionen haben spätestens 2025 keine Updates mehr bekommen. Öffne dazu „winver“ (Windows-Taste + R, dann winver eintippen), um zu sehen, welche Version läuft. Wenn es nicht 22H2 ist, führe unbedingt ein Update dorthin durch (Feature-Update auf 22H2). Ohne diese 22H2 Version erhältst Du die wichtigen Updates nicht.
  • Letzte Updates installieren: Gehe zu Einstellungen > Update & Sicherheit > Windows Update. Suche nach Updates. Im Oktober 2025 gab es das letzte reguläre Sicherheitsupdate für Windows 10. Im Dezember 2025 stellte Microsoft noch ein außerplanmäßiges Update bereit, das u.a. Hinweise auf die Secure Boot Zertifikate enthielt. Wenn Windows Update nichts mehr anbietet und Dir anzeigt, dass das System auf dem neuesten Stand ist, bist Du vermutlich fertig.
  • Secure Boot an oder aus? Überlege Dir und prüfe es nach, ob Secure Boot bei Deinem Windows 10 Rechner aktiv ist. Bei einem Upgrade von Windows 7 auf Windows 10 auf alten Geräten könnte Secure Boot gar nicht vorhanden sein (UEFI nötig). Bei den meisten Systemen ab 2012 mit Windows 8 oder 10 vorinstalliert ist es aber aktiv. Falls es aktiv ist, umso wichtiger, dass die neuen Zertifikate da sind. Wenn Du alle Updates gemacht hast, sind sie vorhanden. Du brauchst Secure Boot dann nicht zu deaktivieren. Falls Dein Windows 10 PC Secure Boot nicht aktiviert hatte, dann hast Du zwar kein Boot-Sicherheits-Check, aber auch kein unmittelbares Problem mit abgelaufenen Zertifikaten.
  • Upgrade in Betracht ziehen: Ggf. solltest Du überlegen, auf Windows 11 (oder ein anderes unterstütztes System) umzusteigen. Da Windows 10 keine Sicherheitsupdates mehr erhält, bist Du auf Dauer sicherer mit einem aktuellen Betriebssystem. Windows 11 läuft auf vielen Geräten, die Windows 10 fähig sind – prüfe die Hardware-Anforderungen. Sollte Dein PC Windows 11 nicht unterstützen (häufig wegen älterer CPU oder fehlendem TPM 2.0), könntest Du über eine Neuanschaffung nachdenken, bevor Windows 10 allzu veraltet ist.

Auch Windows 10 PCs sind in der Lage, mit dem Secure Boot Zertifikatsproblem umzugehen. Es gibt halt ein paar mehr Dinge als bei Windows 11 zu beachten.

FAQ – Wichtige Fragen zum Secure Boot Ablauf

Frage: “Startet mein PC ab Juni 2026 gar nicht mehr, wenn ich nichts tue?”

Im schlimmsten Fall könnte es passieren, dass Dein PC den Windows Bootvorgang abbricht, weil er den Bootloader nicht überprüfen kann. Dies tritt aber nur dann zu, wenn Secure Boot aktiviert ist und Dein System weder die neuen Zertifikate kennt noch die alten als gültig anerkennt. Die meisten Nutzer, die bis 2026 zumindest ab und zu Windows-Updates installiert haben, werden das Problem nicht erleben.

Falls Du doch einmal Probleme bemerkst – etwa ein nicht startender PC – helfen Dir unsere verlinkten Anleitungen wie „PC bootet nicht – was kann ich machen?“ bestimmt weiter.

Frage: “Woran erkenne ich, dass die neuen Zertifikate bei mir installiert sind?”

Das ist für Laien, aber auch für erfahrene Windows Anwender, nicht sofort offensichtlich. Windows versteckt diese Informationen tief im UEFI. Wenn Dein PC normal hochfährt und Du alle aktuellen Updates hast, kannst Du eigentlich davon ausgehen, dass alles passt. Du könntest ins UEFI-Setup gehen und im Menü für die Secure-Boot-Schlüssel nachschauen. Dort sollten in der DB (Allowed Database) Einträge wie “Microsoft Windows Production PCA 2011” und “Microsoft Windows UEFI CA 2023” zu finden sein. Aber nicht jedes UEFI zeigt die Inhalte schön lesbar an.

Frage: “Ich habe Secure Boot absichtlich deaktiviert, weil ich z.B. Linux laufen habe. Muss ich jetzt etwas tun?”

Solange Secure Boot aus ist, wirst Du von ablaufenden Zertifikaten keine direkten Startprobleme bekommen – Secure Boot prüft ja nichts, wenn es aus ist. Allerdings profitierst Du eben auch nicht vom Schutz.

Frage: “Muss ich meinen PC ersetzen, wenn Secure Boot Zertifikate ablaufen?”

Nein, sicherlich nicht allein deswegen. Dein bestehender Windows PC kann durch Software- und Firmware-/Bios-Updates durchaus fit gemacht werden. Solange Dein PC technisch in Ordnung ist, brauchst Du ihn nicht auszutauschen. Natürlich kannst Du die Gelegenheit nutzen, Dich nach einem neuen Gerät umzusehen – neue PCs haben die aktuellen Zertifikate ab Werk und bekommen in Zukunft länger Updates.

Fazit

Die Secure Boot Zertifikate laufen aus. Aber das sollte für die meisten Windows Anwender kein Problem darstellen. In unserer Anleitung steht alles wissenswerte zu diesem Thema drin. Wir hoffen, dass wir Euch damit einen Leitfaden für die Secure Boot Zertifikatsproblematik an die Hand geben konnten.