Hallo Alfonso

hast du mal versucht, deine exe mit dem von ksoftware z.V. gestellten Tool zu signieren?

Ich rufe die CMD Version von ksoftware in einem Batchfile auf:

"C:\Program Files (x86)\kSign\kSignCMD.exe" /d "<produkt>" /du <www.firma.ch> /f "<key.pfx>" /p <Passwort> "<setup.exe>"

Windows 10 akzeptiert die Signatur.

Gruss
M

Es geht hier aber nicht um Windows allgemein, sondern um SmartScreen nach einem Download!

Ein Unterschied zu meinen Signaturen sehe ich noch spontan: ich signiere mit page hashing. Das ist auch so vom Windows Logo-Programm her vorgeschrieben meine ich, insofern kann ich mir gut vorstellen, dass das auch in die Reputation einfliesst.

Sonst würde ich erst einmal in eine andere Richtung suchen: ist die Datei nach dem Download wirklich noch original? Gast Du mal Hashes verglichen? Geschaut ob die Signatur in den Dateieigenschaften als gültig angezeigt wird?

Was ist das?

Gute Idee. Wir haben z.B. mit Firefox und Kaspersky das Problem das Downloads unvollständig sind.

Ah, ich wollte noch /ph ergänzen, habe das aber vergessen.

Page hashing meint, dass alle Speicherseiten auch einzeln signiert werden. Leider finde ich außerhalb von nicht-öffentlichen MS-Dokumenten so auf die Schnelle nichts online. Am ehesten hier:
Da page hashing alleine nicht schadet und keinen zusätzlichen Aufwand (außer dem zusätzlich angegeben Parameter) bedeutet, verwende ich das auf jede Datei, nicht nur auf die, wo es zusammen mit force integrity Pflicht ist.

Ach ja, und spontan fällt mir auch noch signtool verify ein - was spuckt das denn zur heruntergeladenen Datei aus?

Und sagt eventuell das Event-Protokoll von Windows etwas mehr zu den Gründen aus, warum die Datei als unbekannt eingestuft wird (könnte ja sein, dass SmartScreen das dort passenderweise protokolliert)?

Wenn das ein Parameter beim Signieren ist reicht mir das als Info.
Da kann dann mal mir "rumspielen".

SignTool Error: A certificate chain processed, but terminated in a root
certificate which is not trusted by the trust provider.

Da fehlt also ein /ac mit cross certificate, allerdings sehe ich keines für Comodo oder KSoftware, bei letzteren aber im Support. Ja, da steht "nur für kernel mode", aber ich habe das auch schon abseits von Treibern erlebt, dass das fehlte...

@CCRDude: Sorry, aber ich verstehe überhaupt nicht was du schreibst. Was willst du mir sagen. Was muss ich tun?

Danke Dude für deinen Hwinweis. Ich hatte das schon richtig verstanden und auch so getestet. exe signiert - auf meinen Server geladen und runtergeladen. Ich les mich nur nicht so gern und hab's deshalb etwas abgekürzt geschrieben.

Dass "Unbekannter Herausgeber" angegeben wird ist doch eher seltsam. Ich würde die auf den Webserver raufgeladene und die heruntergeladene Datei auf Gleichheit checken.

Wie erwähnt wurde: Die nötige "Reputation" in Bezug auf Smart Screen kannst du mit einem EV Zertifikat erkaufen, sonst musst du sie erarbeiten [u.a. genügend Downloads/Installationen].

Ich glaube nicht, dass /ph in deinem Fall was bringt.

Ist den das Root-Zertifikat vom Herausgeber deines Zertifikat auch Standardmäßig in Windows registriert?