Welcher EV-Zertifikat-Anbieter ist denn vertrauenswürdig und ist es ggf. auch noch in einem halben Jahr? Die Frage nach günstig stelle ich gar nicht erst.

Gibt den diese für normale Windows-Exe-Signierung?
https://de.wikipedia.org/wiki/Extend...ion-Zertifikat

EV gibt's auch für codesigning, ja

z.B. von DigiCert. Siehe auch Microsoft dazu.

Sonst würd ich's ja nicht schreiben
Wir verwenden eines, daher kenne ich den Unterschied im Smartscreen aus eigener Erfahrung.

Smartscreen liefert immernoch den gleichen Fehler und immernoch keinen Herausgeber.

"c:\Program Files (x86)\Windows Kits\10\bin\x64\signtool.exe" sign /as /fd SHA256 /f "D:\projekte\Zertifikat.pfx" /p xxxxxxx /d "AAAAAA" /du "http://www.test.de" /n "Test GmbH" /tr http://sha256timestamp.ws.symantec.c.../timestamp/tsa D:\projekte\svn\Installation\Output\ver_11.0.5.729 e.exe

Was läuft falsch? Ich habe ein Zertifikat von ksoftware.net.

Hallo Alfonso

hast du mal versucht, deine exe mit dem von ksoftware z.V. gestellten Tool zu signieren?

Ich rufe die CMD Version von ksoftware in einem Batchfile auf:

"C:\Program Files (x86)\kSign\kSignCMD.exe" /d "<produkt>" /du <www.firma.ch> /f "<key.pfx>" /p <Passwort> "<setup.exe>"

Windows 10 akzeptiert die Signatur.

Gruss
M

Es geht hier aber nicht um Windows allgemein, sondern um SmartScreen nach einem Download!

Ein Unterschied zu meinen Signaturen sehe ich noch spontan: ich signiere mit page hashing. Das ist auch so vom Windows Logo-Programm her vorgeschrieben meine ich, insofern kann ich mir gut vorstellen, dass das auch in die Reputation einfliesst.

Sonst würde ich erst einmal in eine andere Richtung suchen: ist die Datei nach dem Download wirklich noch original? Gast Du mal Hashes verglichen? Geschaut ob die Signatur in den Dateieigenschaften als gültig angezeigt wird?

Was ist das?

Gute Idee. Wir haben z.B. mit Firefox und Kaspersky das Problem das Downloads unvollständig sind.

Danke Dude für deinen Hwinweis. Ich hatte das schon richtig verstanden und auch so getestet. exe signiert - auf meinen Server geladen und runtergeladen. Ich les mich nur nicht so gern und hab's deshalb etwas abgekürzt geschrieben.

Dass "Unbekannter Herausgeber" angegeben wird ist doch eher seltsam. Ich würde die auf den Webserver raufgeladene und die heruntergeladene Datei auf Gleichheit checken.

Wie erwähnt wurde: Die nötige "Reputation" in Bezug auf Smart Screen kannst du mit einem EV Zertifikat erkaufen, sonst musst du sie erarbeiten [u.a. genügend Downloads/Installationen].

Ich glaube nicht, dass /ph in deinem Fall was bringt.

Ich weiss nicht was los ist, aber Windows 10 erkennt es nicht und gibt immernoch unbekannter Herausgeber. Wenn ich es direkt auf der platte aufrufe, erkennt er den Herausgeber.

wenn du es nicht direkt von der Platte aufrufts... wie denn dann???

Für Updates ist es definitiv zu empfehlen, mit einem eigenen vorherigem lokal signiertem Programm per eigener (INet) rein speicher basierter Downloadfunktion sich selbst alle Updatedaten von irgendwo zu holen und sie dann selbst per vom eigenem Prozess erzeugter Datei auf die loakte HD mit .xyz als Extension zu schreiben. Erst wenn komplett und CRC/Signatur selbst überprüft simmen, dann diese Datei in ".exe" umbenennen. Und man vermeide einfach "setup" oder "install" mit im Dateinamen! Dann klappt es auch mit dem "normalem" Start einer signierten Anwendung unter Windows.

Wer per z.B. Chrome per FTP/HTTP(s) eine durchaus richtig signierte EXE-Datei aus dem INet ins sagen wir ins lokale Downloadverzeichnis lädt und diese von dort umkopiert oder dort startet bekommt eine "gelbe" Warnung, wegen Dateiherkunft aus unsicherer Quelle.