Durch das Auslaufen von Microsofts' Secure-Boot-Zertifikaten für x86-Systeme drohen fehlgeschlagene Updates, eingeschränkte Sicherheitsfunktionen, Vertrauensprobleme bei signierter Software und im Ergebnis unnötige Betriebsrisiken. Aber der Reihe nach:
Das Problem
Secure Boot ist Bestandteil der UEFI-Firmware und stellt sicher, dass beim Systemstart ausschließlich vertrauenswürdige, signierte Komponenten geladen werden. Dafür sind Zertifikate in der Firmware bzw. im UEFI-Trust-Store hinterlegt.
Im Juni 2026 laufen diese Zertifikate für x86-Systeme nun aus. Das ist, in Lifecycle- und Budgetzyklen betrachtet, faktisch übermorgen.
Die mögliche Folge: Ab Juni 2026 klappen dann keine Sicherheitsupdates für Secure Boot und Windows Boot Manager mehr, ebensowenig wie Installationen von Drittanbieter-Software.
Das betrifft unter anderem auch:
- Treiber
- Hypervisor-Komponenten
- Backup-Agents
- Security-Lösungen und
- Monitoring-Tools
Denn: Sie alle sind mit neuen Zertifikaten signiert, denen das System dann nicht mehr vertraut.
Zusammengefasst drohen fehlgeschlagene Updates, eingeschränkte Sicherheitsfunktionen, Vertrauensprobleme bei signierter Software und im Ergebnis unnötige Betriebsrisiken.
Die gute Nachricht: Es gibt bereits neue Zertifikate.
Die schlechte Nachricht: Für VMware-ESXi-Hosts gibt es aktuell keinen automatisierten Mechanismus zum Aktualisieren der Secure-Boot-Zertifikate.
Also:
- kein „Patch Tuesday“-Effekt
- kein stilles Firmware-Update im Hintergrund
- keine zentrale Standardlösung per Default
Stattdessen sind Planung, Prüfung und strukturierte Umsetzung nötig – insbesondere in größeren Cluster- oder HCI-Umgebungen.
Ich sehe in der Praxis bei unseren Kunden eine Reihe an typischen, meist über längere Zeit gewachsenen Konstellationen, in denen ein abgelaufenes Trust-Zertifikat unerwartete Effekte haben kann – von fehlgeschlagenen Updates bis hin zu Boot-Problemen:
- ESXi-Hosts mit Secure Boot, bei denen der aktuelle Zertifikatsstand nicht dokumentiert ist
- vSphere-Cluster mit unterschiedlichen Hardware-Generationen
- Kombination aus physischen Hosts, virtuellen Appliances und Drittanbieter-Lösungen
- Setups, in denen keine Testumgebungen für Firmware- und Boot-Prozesse vorhanden sind
Die Lösung
Betroffene IT-Abteilungen sollten strukturiert vorgehen. Sie sollten 1. die Situation im Unternehmen erfassen, 2. die Statements und Roadmaps der Hersteller prüfen, 3. eine Teststrategie definieren und 4. planen, was zu tun ist.
Wir empfehlen Ihnen folgende Vorgehensweise:
1. Bestandsaufnahme
* Welche ESXi-Versionen sind im Einsatz?
* Welche Hardware-Generationen?
* Ist Secure Boot aktiv?
* Welche Drittanbieter-Komponenten sind integriert?
2. Hersteller-Statements und Roadmaps prüfen
* Firmware-Updates der Hardware-Hersteller
* VMware-/Broadcom-Empfehlungen
* Abhängigkeiten zu vCenter-Versionen
3. Teststrategie definieren
* Zertifikats-Updates zunächst in isolierten Umgebungen prüfen
* Boot-Prozesse und Update-Szenarien validieren
* Kompatibilität mit Security- und Backup-Lösungen testen
4. Planung
* Wartungsfenster
* Cluster-sequenzielle Updates
* Berücksichtigung von EoL-Terminen bestehender Hardware
Wir helfen Ihnen gern
Wir helfen Ihnen, Ihre Infrastruktur rechtzeitig und sauber vorzubereiten. Wir unterstützen Sie bei Bedarf dabei:
- Ihre vSphere- und ESXi-Umgebung zu analysieren,
- Ihre Secure-Boot-Konfiguration zu bewerten
- Ihre Zertifikats- und Firmware-Updates zu planen und durchzuführen
- eine zukunftssichere Update-Strategie zu entwickeln
Sprechen Sie mich einfach an!
- Daniel Löschmann
- Teamleiter Datacenter
- anfrage@netlogix.de