Es geht hier aber nicht um Windows allgemein, sondern um SmartScreen nach einem Download!

Ein Unterschied zu meinen Signaturen sehe ich noch spontan: ich signiere mit page hashing. Das ist auch so vom Windows Logo-Programm her vorgeschrieben meine ich, insofern kann ich mir gut vorstellen, dass das auch in die Reputation einfliesst.

Sonst würde ich erst einmal in eine andere Richtung suchen: ist die Datei nach dem Download wirklich noch original? Gast Du mal Hashes verglichen? Geschaut ob die Signatur in den Dateieigenschaften als gültig angezeigt wird?

Was ist das?

Gute Idee. Wir haben z.B. mit Firefox und Kaspersky das Problem das Downloads unvollständig sind.

Ah, ich wollte noch /ph ergänzen, habe das aber vergessen.

Page hashing meint, dass alle Speicherseiten auch einzeln signiert werden. Leider finde ich außerhalb von nicht-öffentlichen MS-Dokumenten so auf die Schnelle nichts online. Am ehesten hier:
Da page hashing alleine nicht schadet und keinen zusätzlichen Aufwand (außer dem zusätzlich angegeben Parameter) bedeutet, verwende ich das auf jede Datei, nicht nur auf die, wo es zusammen mit force integrity Pflicht ist.

Ach ja, und spontan fällt mir auch noch signtool verify ein - was spuckt das denn zur heruntergeladenen Datei aus?

Und sagt eventuell das Event-Protokoll von Windows etwas mehr zu den Gründen aus, warum die Datei als unbekannt eingestuft wird (könnte ja sein, dass SmartScreen das dort passenderweise protokolliert)?

Wenn das ein Parameter beim Signieren ist reicht mir das als Info.
Da kann dann mal mir "rumspielen".

Danke Dude für deinen Hwinweis. Ich hatte das schon richtig verstanden und auch so getestet. exe signiert - auf meinen Server geladen und runtergeladen. Ich les mich nur nicht so gern und hab's deshalb etwas abgekürzt geschrieben.

Dass "Unbekannter Herausgeber" angegeben wird ist doch eher seltsam. Ich würde die auf den Webserver raufgeladene und die heruntergeladene Datei auf Gleichheit checken.

Wie erwähnt wurde: Die nötige "Reputation" in Bezug auf Smart Screen kannst du mit einem EV Zertifikat erkaufen, sonst musst du sie erarbeiten [u.a. genügend Downloads/Installationen].

Ich glaube nicht, dass /ph in deinem Fall was bringt.

Ist den das Root-Zertifikat vom Herausgeber deines Zertifikat auch Standardmäßig in Windows registriert?

Der Zusammenhang zwischen /ph und Reputation ist nur ein indirekter

Hier ist eine gute Diskussion dazu - der Ansatz über WACK sollte helfen (ist aber ein echter Klotz und braucht, sich da einzuarbeiten).

Ansonsten ist die Frage von Bernhard auch noch sehr gut - ich hatte zwar in Erinnerung, dass ksoftware Comodo-Zertifikate vergibt, aber tun sie das direkt?

Ich weiss nicht was los ist, aber Windows 10 erkennt es nicht und gibt immernoch unbekannter Herausgeber. Wenn ich es direkt auf der platte aufrufe, erkennt er den Herausgeber.

wenn du es nicht direkt von der Platte aufrufts... wie denn dann???

Für Updates ist es definitiv zu empfehlen, mit einem eigenen vorherigem lokal signiertem Programm per eigener (INet) rein speicher basierter Downloadfunktion sich selbst alle Updatedaten von irgendwo zu holen und sie dann selbst per vom eigenem Prozess erzeugter Datei auf die loakte HD mit .xyz als Extension zu schreiben. Erst wenn komplett und CRC/Signatur selbst überprüft simmen, dann diese Datei in ".exe" umbenennen. Und man vermeide einfach "setup" oder "install" mit im Dateinamen! Dann klappt es auch mit dem "normalem" Start einer signierten Anwendung unter Windows.

Wer per z.B. Chrome per FTP/HTTP(s) eine durchaus richtig signierte EXE-Datei aus dem INet ins sagen wir ins lokale Downloadverzeichnis lädt und diese von dort umkopiert oder dort startet bekommt eine "gelbe" Warnung, wegen Dateiherkunft aus unsicherer Quelle.

@Alfonso: Was steht denn in den Eigenschaften der Datei im Register Signatur? Wieviele Signaturen sind dort zu sehen, mit welchem Typ? Sind die Signaturen gültig? Enthalten sie den erwarteten Herausgeber?

Grüße
Dalai