Episode 4: 2026 - “the certificate renewal year”

Red & Black Beard Security Podcast – Episode 4: Certificate
Renewal Year 2026 – Secure Boot und Intune nicht verschlafen


Description (EN)


In Episode 4, Marcus Henker and Marc Holländer focus on two
certificate renewals that Windows and Intune administrators
should not leave to chance in 2026.


The first half of the episode covers the Secure Boot certificate
update: why the June 2026 deadline matters, what can break over
time if devices are left behind, how to monitor rollout status,
and why firmware, reboot behavior, and staged deployment rings
matter more than many teams assume. The hosts also discuss
reporting options in Intune, relevant registry keys, event IDs,
and the practical difference between waiting for Microsoft’s
“high-confidence” rollout and proactively testing your own device
classes.


The second half turns to the Intune device management root CA
renewal. Marcus and Marc explain why this matters for device
communication, which edge cases can break renewal, how UPN
changes can cause enrollment-related issues, and why early
detection is far cheaper than mass re-enrollment later. A
practical episode for IT teams that want to avoid
certificate-related surprises before they turn into outages.


Beschreibung (DE)


In Folge 4 sprechen Marcus Henker und Marc Holländer über zwei
Zertifikatsthemen, die 2026 für Windows- und Intune-Admins
schnell unangenehm werden können, wenn man sie zu spät angeht.


Im ersten Teil geht es um das Secure-Boot-Update und das
auslaufende Root-Zertifikat im Juni 2026. Die beiden ordnen ein,
warum nicht sofort alles stehen bleibt, warum das trotzdem kein
Grund zum Abwarten ist und wie man den Stand der eigenen Umgebung
sinnvoll ermittelt. Dazu gehören Reporting über Intune,
Detection-Skripte, Registry-Keys, Event-IDs,
Firmware-Abhängigkeiten, Reboot-Anforderungen und die Frage, wann
man selbst aktiv pushen sollte, statt nur auf Microsofts
High-Confidence-Rollout zu vertrauen.


Im zweiten Teil geht es um das Intune Device Management
Root-CA-Renewal. Besprochen werden mögliche Fehlerbilder,
darunter UPN-Änderungen beim Enrollment-User, Monitoring rund um
Zertifikatslaufzeiten und Event-Logs sowie die unschöne Realität,
dass verlorene Intune-Kommunikation schnell in Re-Enrollment oder
sogar Factory Reset enden kann. Die Kernempfehlung: erst
Sichtbarkeit schaffen, dann gezielt handeln.


Chapters


00:00 – Intro & Rahmen


00:45 – Was Secure Boot eigentlich absichert


01:32 – Deadline 2026 und mögliche Auswirkungen


03:08 – Microsoft-Rollout seit Januar und High-Confidence-Geräte


05:50 – Reporting in Intune, Registry und Event-Logs


09:27 – Firmware als häufigster Blocker


10:49 – Rollout-Optionen: Registry, Intune, GPO und manuell


13:52 – Reboots, POC-Ringe und kontrolliertes Ausrollen


15:26 – Playbooks, AMA und operative Empfehlungen


18:11 – Intune Device Management Root CA Renewal


19:47 – UPN-Änderungen und Enrollment-Sonderfälle


21:32 – Monitoring über Zertifikate und Event-Logs


24:19 – Re-Enrollment, Autopilot und Recovery-Aufwand


25:27 – Detection first: die zentrale Handlungsempfehlung


26:21 – Off-Topic: NTLMv1 und alte Serverstände


27:14 – Outro


Tags


#RedAndBlackBeardSecurity, #SecurityPodcast, #MicrosoftSecurity,
#CloudSecurity, #SecureBoot, #Intune, #CertificateRenewal,
#WindowsSecurity, #EndpointManagement, #BitLocker,
#FirmwareSecurity, #WindowsUpdate