Linux Betrifft auch Linux und OSx: Microsoft warnt vor Secure-Boot-Zertifikat-Update

Linux Betriebssystem
Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
77.753
Linux- und OSx-User ausgepasst:
Secure Boot-Zertifikate werden demnächst von Microsoft aktualisiert.

Beachtet diesem Thread:
Mornsgrans

Windows Thema 'Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update'

Wenn jemand vor sich selbst warnt, muss man offenbar mit allem rechnen, nur nicht, dass es funktioniert - oder wie soll man das verstehen?

Heute bei Heise:
www.heise.de

Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update

"Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft. Nicht nur Windows ist betroffen.
www.heise.de www.heise.de

Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab.
Zum Vergrößern anklicken....
...
"Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.
Zum Vergrößern anklicken....

...
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Also SecureBoot deaktivieren, wenn man's noch nicht getan hat, oder wie darf man das verstehen?
 
Zumindest bei Dual-Boot-Systemen nicht anzuraten.

Da Lenovo auch Linux-Systeme im Portfolio hat, werden sie diesbezüglich eh aktiv werden müssen. Vermutlich werden auch die Linux-Entwickler im Laufe des Jahres diesbezüglich aktiv werden. - Da werden wir auf entsprechende Veröffentlichung warten müssen.
 
Eigentlich nur dafür sorgen, dass fwupdmgr aktiv ist und entsprechende Updates beziehen kann. Hier kamen immer mal wieder auf den verschiedenen ThinkPads darüber entsprechende SecureBoot DB/DBX Updates.
 
Ein kleiner Selbsttest: Der (einzige) Rechner, auf dem neben Debian auch ein Windows 11 Bestand hat, hat "etwas" offenbar die UEFI- Zertifikate bereits ausgetauscht. Hier startet ein aktuelles Ventoy erst nach Deaktivieren des Secure Boot. Ein weiterer mit Secure Boot (so viele Geräte dieser Moderne habe ich nicht), welcher nie Windows 11 gesehen hat, startet das selbe Ventoy mit aktiviertem Secure Boot einwandfrei. Das "Es" hat hier also nichts beschädigen können.

Nur würde ich das "Es" langsam auch gerne von dem erst genannten Rechner entfernen, wenn ich denn nur die Zertifikate wieder gerade gezogen bekäme. Man, da macht man einmal nach 15 Jahren den Fehler, den Microsoft Schrott nicht sofort zu formatieren, schon hat man den Ärger.
 
Ravensberger schrieb:
Ein kleiner Selbsttest: Der (einzige) Rechner, auf dem neben Debian auch ein Windows 11 Bestand hat, hat "etwas" offenbar die UEFI- Zertifikate bereits ausgetauscht.
Zum Vergrößern anklicken....
Dein Selbsttest-Resultat dürfte einen anderen Grund haben, nämlich dass Ventoy wohl einen mittlerweile gesperrten Bootloader verwendet [1].

Die alten CA Root Zertifikate ("Microsoft Corporation UEFI CA 2011") werden nicht ersetzt bzw. gelöscht, sie laufen nur zum Stichtag ab. Die neuen Zertifikate ("Microsoft UEFI CA 2023") werden zusätzlich im NVRAM abgespeichert.

Wenn Du mit dem in [1] angegebenen Befehl
Bash: 
sudo fwts uefidump - | less
dein System anschaust (Suche mit /UEFI CA, weiter mit /) wirst Du vermutlich beide Generationen der Zertifikate sehen, sofern Du alle Datenbank Updates drauf hast - entweder über MS oder LVFS.

[1] https://www.heise.de/hintergrund/Secure-Boot-und-Startverbote-unter-Linux-9672292.html
 
Zuletzt bearbeitet:
Wer's nicht glaubt, kann jetzt auch gegen Matthew wetten:

Matthew Garrett (@mjg59@nondeterministic.computer)

People who are still inclined to believe that Linux systems will stop booting next month because of secure boot rollover! Send me evidence that you have donated to a charity and, if Linux stops booting on any system after 2025-09-11 because of some sort of certificate rollover bullshit, I will...
nondeterministic.computer nondeterministic.computer
 
Puh, bitte helft mir mal auf die Sprünge. Ich verstehe gerade nur noch Bahnhof und blicke da gerade nicht mehr durch. Ich nutze derzeit mehrere T430 & X230 mit UEFI und Dualboot mit Grub. Installiert sind je ein Kubuntu 24.04LTS und Windows10. Muss ich mir jetzt Gedanken machen, dass die T430 & X230 womöglich demnächst nicht mehr booten?

Eingestellt im Bios ist boot in "UEFI-Only", der Security-Chip "Active" und auf der ersten Seite des Bios steht: "UEFI-Secure boot "off".
 
Danke. Beruhigt mich irgendwie. Manchmal ist es besser, auf gut abgehangen Hardware zu setzen.... ;)
 
der_holzwurm schrieb:
Muss ich mir jetzt Gedanken machen, dass die T430 & X230 womöglich demnächst nicht mehr booten?
Zum Vergrößern anklicken....

Und auch wenn SecureBoot aktiv wäre, müsstest du dir dazu keine Gedanken machen.

An sich muss sich darüber niemand wirklich Gedanken machen, denn sowohl Windows als auch Linux verteilen die entsprechenden Updates automatisch.
 
Es kann sich jeder seine eigenen Gedanken darüber machen, was mit Rechnern passiert, die ab Oktober weiterhin mit Windows 10 genutzt werden und solche, auf denen Windows 11 trotz fehlender offizieller Unterstützung installiert ist:
Microsoft ist wichtig zu betonen, dass Betroffene zunächst nach der jüngsten Firmware ihres OEM-Anbieters – also vom Rechner- oder Mainboard-Hersteller – suchen und diese anwenden sollen, bevor sie neue Zertifikate auf ihren Windows-Systemen anwenden. Im sicheren Bootvorgang seien die Firmware-Updates der OEMs Voraussetzung für korrekt angewendete Windows-Secure-Boot-Updates. Microsoft unterstützt dafür lediglich Systeme, die noch im Support-Zyklus sind – nach Oktober 2025 sollen Windows-10-Nutzer daher über die Beschaffung von Extended Security Updates (ESU) nachdenken.
Zum Vergrößern anklicken....
(Zitat aus oben verlinkten Heise-Artikel)
Spannend könnte es sicher alle mal werden.
 
Was Heise da etwas verschwurbelt schreibt, bedeutet ja letztlich nur, dass Microsoft die entsprechenden Updates nur für Windows Versionen ausliefert, welche von Microsoft noch unterstützt werden. Das ist an sich logisch und zu erwarten.

Ich wette, das wird alles völlig langweilig. Wer es nicht drauf anlegt, wird von der ganzen Geschichte überhaupt nichts mitbekommen.
Und irgendwelche Einzelschicksale werden wieder durch die ganze "Fachpresse" hochgejazzt, als wäre alles völlig katastrophal. Wie immer also eigentlich...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben