Die Microsoft Secure Boot Zertifikate von 2011 laufen ab — das ist seit Monaten bekannt. Was sich zuletzt konkret geändert hat, ist weniger im Blick: Broadcom hat KB 423893 aktualisiert und dabei Klarstellungen geliefert, die sowohl die Rollout-Planung als auch die Risikoeinschätzung betreffen.
Kurzer Rückblick: Worum geht es?
Die Microsoft Secure Boot Zertifikate aus dem Jahr 2011 laufen ab Juni 2026 ab. Betroffen sind alle Windows Server mit aktivem Secure Boot – physische Server und virtuelle Maschinen gleichermaßen. Ohne Update können die Systeme keine zukünftigen Boot-Level Security Updates mehr empfangen.
Während der Prozess auf physischen Servern mittlerweile gut etabliert ist, stellt die Aktualisierung in VMware-Umgebungen nach wie vor die größte Herausforderung dar. Hier gibt es nun wichtige Neuigkeiten.
Neu: ESXi 8.0 Update 3j – Automatischer Platform Key Fix
Mit ESXi 8.0 Update 3j hat Broadcom eine bedeutende Vereinfachung eingeführt: Bei VMs ohne vTPM (Virtual Trusted Platform Module) wird der Platform Key (PK) beim nächsten VM-Reboot automatisch gesetzt. Der bisher notwendige manuelle Schritt über den UEFI-Setup-Screen entfällt für diese VMs vollständig.
Für VMs mit aktiviertem vTPM gibt es aktuell noch keine automatische Lösung. Broadcom und Microsoft arbeiten gemeinsam an einem sogenannten Capsule-basierten Update, das diesen Fall abdecken soll.
Klarstellung: Welche Zertifikate hat meine VM?
Broadcom hat nun transparent dokumentiert, welche Secure Boot Zertifikate eine VM in ihrem NVRAM hat – abhängig davon, auf welcher ESXi-Version und Hardware-Version sie ursprünglich erstellt wurde:
- ESXi 9.x mit HW Version 14+: Korrekter Windows OEM Devices PK vorhanden – kein manueller Eingriff nötig
- ESXi 8.0 U2 bis 8.x mit HW Version 14+: KEK 2023 vorhanden, aber PK ist ein ungültiger Platzhalter (VMW.NULLPK) – PK-Korrektur erforderlich
- Ältere ESXi-Versionen oder HW Version 13: Nur alte 2011-Zertifikate, kein 2023 KEK, kein gültiger PK – vollständige Aktualisierung nötig
Wichtig: Entscheidend ist die ESXi-Version zum Zeitpunkt der VM-Erstellung, nicht die aktuelle Host-Version. Eine VM, die auf ESXi 7.0 erstellt und später auf ESXi 8.0 U2 migriert wurde, hat weiterhin die alten Zertifikate im NVRAM.
Entwarnung: Was passiert nach Juni 2026?
Broadcom hat klargestellt: Nach dem Ablauf der Zertifikate im Juni 2026 booten alle VMs weiterhin normal. Secure Boot prüft keine Ablaufdaten von Zertifikaten.
Das eigentliche Risiko entsteht erst, wenn Microsoft die alten 2011-Zertifikate aktiv widerruft (Revocation). Ab diesem Zeitpunkt können keine neuen DB/DBX-Updates mehr eingespielt werden – das bedeutet, kompromittierte Bootloader können nicht mehr gesperrt und neue Boot-Komponenten nicht mehr verifiziert werden.
Das verschafft zwar etwas mehr Spielraum, ändert aber nichts an der Empfehlung, die Aktualisierung zeitnah durchzuführen.
Empfohlene Priorisierung (Broadcom)
Broadcom empfiehlt folgende Reihenfolge für den Rollout:
- VMs ohne vTPM → Automatischer PK-Fix ab ESXi 8.0 Update 3j (einfach, nur Reboot nötig)
- VMs mit vTPM (Windows) → Capsule PK Update abwarten (sobald Patches von Broadcom/Microsoft verfügbar)
- VMs mit vTPM (Legacy/Linux) → Manueller PK-Update über UEFI-Setup (KB 423919)
- VMs mit HW Version 13 → Zuerst auf HW Version 14+ upgraden, dann wie oben verfahren
vSphere 7.x: Kein automatischer Fix
vSphere 7 hat End of General Support erreicht. Für diese Umgebungen wird es keine automatischen Tools geben. Betroffene VMs müssen entweder manuell aktualisiert (KB 423919) oder die Hosts auf eine unterstützte ESXi-Version migriert werden.
Falls Sie noch vSphere 7.x im Einsatz haben, empfehlen wir, die Host-Migration in die Rollout-Planung mit einzubeziehen.
Was bedeutet das für Sie?
Die gute Nachricht: Die Situation wird durch die neuen Broadcom-Updates schrittweise einfacher – insbesondere der automatische PK-Fix in ESXi 8.0 Update 3j reduziert den manuellen Aufwand erheblich.
Dennoch bleibt das Thema komplex, insbesondere in heterogenen Umgebungen mit unterschiedlichen ESXi-Versionen, Hardware-Versionen und vTPM-Konfigurationen. Eine saubere Bestandsaufnahme ist der wichtigste erste Schritt, um den richtigen Rollout-Plan für Ihre Umgebung zu erstellen.
Wir haben den gesamten Prozess in unserer eigenen Infrastruktur und bei mehreren Kundenumgebungen erfolgreich durchgeführt und begleiten auch Ihr Projekt gerne – von der Inventarisierung über die Planung bis zur Umsetzung.
Bei Fragen oder Unterstützungsbedarf erreichen Sie uns unter