Hallo,

habe eine Setupdatei mit Signtool signiert. Wenn ich die Datei von einem Netzlaufwerk aufrufe, kommt richtig die Meldung "Möchten Sie zulassen ..." und als Verifizierter Herausgeber wird unsere Firma angezeigt.
Wenn ich die selbe Datei nun aus dem Internet runterlade und aus dem Downloadsordner starte, erhalte ich die Windows 10 Meldung: "Von Windows Defender Smartscreen wurde der Start einer unbekannten App verhindert ..." Unter Weitere Informationen erhalte ich den Hinweis "Unbekannter Herausgeber".

Was habe ich falsch gemacht? Ich habe ein Zertifikat extra gekauft, um genau dieses zu verhindern.

Aufruf mit: "c:\Program Files (x86)\Windows Kits\10\bin\x64\signtool.exe" sign /f "[PFAD ZUM CERT]/cert.pfx" /p [PASSWORT] /d "[PRODUKTNAME]" /du "[URL]" /n "[FIRMENNAME]" /t http://timestamp.verisign.com/scripts/timstamp.dll [PFAD DER EXE]

Die alte Signatur nach SHA1 wird nicht mehr als Sicher angesehen.
Dies ist nur nötig, wenn die Anwendung noch unter XP laufen muss und dort als sicher angesehen werden soll.

Ab Vista ist die (zusätzliche) Signierung nach SHA256 nötig:

"signtool.exe" sign /q /as /fd SHA256 /f ... http://sha256timestamp.ws.symantec.c.../timestamp/tsa ...

Darüber hinaus hilft übrigens eine Signatur mit EV-Zertifikat, um von Smartscreen besser eingestuft zu werden.

Soll heißen, dass Windows diese Signaturen grundsätzlich ablehnt.

Im Notfall doppelt signieren.
> SHA1 für XP
> SHA256 für neueres Windows

SHA1 kann als geknackt angesehen werden.
D.h. es ist keine Sicherheitsgewinn vorhanden wenn man einer SHA1-Signatur vertrauen würde.
AFAIK lehnen auch Browser Zertifikate von Webseiten ab welche nur SHA1 verwenden würden.

Welcher EV-Zertifikat-Anbieter ist denn vertrauenswürdig und ist es ggf. auch noch in einem halben Jahr? Die Frage nach günstig stelle ich gar nicht erst.

Gibt den diese für normale Windows-Exe-Signierung?
https://de.wikipedia.org/wiki/Extend...ion-Zertifikat

EV gibt's auch für codesigning, ja

z.B. von DigiCert. Siehe auch Microsoft dazu.

Sonst würd ich's ja nicht schreiben
Wir verwenden eines, daher kenne ich den Unterschied im Smartscreen aus eigener Erfahrung.

Smartscreen liefert immernoch den gleichen Fehler und immernoch keinen Herausgeber.

"c:\Program Files (x86)\Windows Kits\10\bin\x64\signtool.exe" sign /as /fd SHA256 /f "D:\projekte\Zertifikat.pfx" /p xxxxxxx /d "AAAAAA" /du "http://www.test.de" /n "Test GmbH" /tr http://sha256timestamp.ws.symantec.c.../timestamp/tsa D:\projekte\svn\Installation\Output\ver_11.0.5.729 e.exe

Was läuft falsch? Ich habe ein Zertifikat von ksoftware.net.

Hallo Alfonso

hast du mal versucht, deine exe mit dem von ksoftware z.V. gestellten Tool zu signieren?

Ich rufe die CMD Version von ksoftware in einem Batchfile auf:

"C:\Program Files (x86)\kSign\kSignCMD.exe" /d "<produkt>" /du <www.firma.ch> /f "<key.pfx>" /p <Passwort> "<setup.exe>"

Windows 10 akzeptiert die Signatur.

Gruss
M