Ah, ich wollte noch /ph ergänzen, habe das aber vergessen.

Page hashing meint, dass alle Speicherseiten auch einzeln signiert werden. Leider finde ich außerhalb von nicht-öffentlichen MS-Dokumenten so auf die Schnelle nichts online. Am ehesten hier:
Da page hashing alleine nicht schadet und keinen zusätzlichen Aufwand (außer dem zusätzlich angegeben Parameter) bedeutet, verwende ich das auf jede Datei, nicht nur auf die, wo es zusammen mit force integrity Pflicht ist.

Ach ja, und spontan fällt mir auch noch signtool verify ein - was spuckt das denn zur heruntergeladenen Datei aus?

Und sagt eventuell das Event-Protokoll von Windows etwas mehr zu den Gründen aus, warum die Datei als unbekannt eingestuft wird (könnte ja sein, dass SmartScreen das dort passenderweise protokolliert)?

Wenn das ein Parameter beim Signieren ist reicht mir das als Info.
Da kann dann mal mir "rumspielen".

SignTool Error: A certificate chain processed, but terminated in a root
certificate which is not trusted by the trust provider.

Da fehlt also ein /ac mit cross certificate, allerdings sehe ich keines für Comodo oder KSoftware, bei letzteren aber im Support. Ja, da steht "nur für kernel mode", aber ich habe das auch schon abseits von Treibern erlebt, dass das fehlte...

@CCRDude: Sorry, aber ich verstehe überhaupt nicht was du schreibst. Was willst du mir sagen. Was muss ich tun?

Ich hätte ja diesem ganzen Brimborium mit Zertifikaten schon längst ein Ende bereitet. Erst kostet es, dann klappt es nicht. Moment, hab ich ja schon längst, und die Kunden akzeptieren es auch so.

Sherlock

@Alfonso: lesen Hinter den Links steht ja schon einiges, die Fehlermeldung sagt auch etwas aus.

Erstmal zum verify... hast Du /pa verwendet?

Und zum /ac: besorg Dir das passende Cross-Certificate und gib es mit /ac dateiname mit in den Parametern an, damit die Kette ("chain") der Zertifikate bis zum einem vertrauenswürdigen Root runter gehen kann.

@Sherlock: es klappt eigentlich sehr zuverlässig, man muss sich nur wie bei so vielen Werkzeugen erst einmal einarbeiten

Ich habe Kontakt mit kSoftware aufgenommen und einen langen Mailverkehr gehabt. Sie können es sich nicht erklären, warum der Herausgeber beim SmartScreen nicht bei mir angezeigt wird. Bei ihnen in der USA wird es auf 6 Rechner mit meiner Software korrekt angezeigt unter Windows 10.
Habt Ihr eine Idee?

Ansonsten schrieben sie:

SmartScreen is a reputation based filter/scanner so they're just seeing the new file with the new signature as new (which it is), but there is a relatively easy way around that and you only have to do it once with one signed file. All you need to do is use IE or Edge and download the untrusted file. When the SmartScreen warning comes up click “More” or “More Info” and “Run Anyway”. Do that about 10-15 times and in an hour or so after that the messages go away. Make sure you're downloading your signed file though, this only works if the downloaded file is signed. Once one of your signed files gains reputation, any other file you sign will share in that.

However, you seem to be having an additional problem in that the publisher is showing as Unknown on your PC. I've tested now on 6 PCs here running various versions of Windows and they are all showing the correct information, so I'm a bit puzzled. Do you have additional PCs with which to test