Delphi-PRAXiS
Seite 1 von 3  1 23   

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   Delphi Signierte Datei wird von Windows trotzdem bemängelt (https://www.delphipraxis.net/194296-signierte-datei-wird-von-windows-trotzdem-bemaengelt.html)

Alfonso 7. Nov 2017 08:24

Signierte Datei wird von Windows trotzdem bemängelt
 
Hallo,

habe eine Setupdatei mit Signtool signiert. Wenn ich die Datei von einem Netzlaufwerk aufrufe, kommt richtig die Meldung "Möchten Sie zulassen ..." und als Verifizierter Herausgeber wird unsere Firma angezeigt.
Wenn ich die selbe Datei nun aus dem Internet runterlade und aus dem Downloadsordner starte, erhalte ich die Windows 10 Meldung: "Von Windows Defender Smartscreen wurde der Start einer unbekannten App verhindert ..." Unter Weitere Informationen erhalte ich den Hinweis "Unbekannter Herausgeber".

Was habe ich falsch gemacht? Ich habe ein Zertifikat extra gekauft, um genau dieses zu verhindern.

Aufruf mit: "c:\Program Files (x86)\Windows Kits\10\bin\x64\signtool.exe" sign /f "[PFAD ZUM CERT]/cert.pfx" /p [PASSWORT] /d "[PRODUKTNAME]" /du "[URL]" /n "[FIRMENNAME]" /t http://timestamp.verisign.com/scripts/timstamp.dll [PFAD DER EXE]

Bernhard Geyer 7. Nov 2017 08:30

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Die alte Signatur nach SHA1 wird nicht mehr als Sicher angesehen.
Dies ist nur nötig, wenn die Anwendung noch unter XP laufen muss und dort als sicher angesehen werden soll.

Ab Vista ist die (zusätzliche) Signierung nach SHA256 nötig:

"signtool.exe" sign /q /as /fd SHA256 /f ... http://sha256timestamp.ws.symantec.c.../timestamp/tsa ...

CCRDude 7. Nov 2017 08:48

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Darüber hinaus hilft übrigens eine Signatur mit EV-Zertifikat, um von Smartscreen besser eingestuft zu werden.

himitsu 7. Nov 2017 10:33

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Zitat:

Zitat von CCRDude (Beitrag 1385440)
StundeDie alte Signatur nach SHA1 wird nicht mehr als Sicher angesehen.

Soll heißen, dass Windows diese Signaturen grundsätzlich ablehnt.

Im Notfall doppelt signieren.
> SHA1 für XP
> SHA256 für neueres Windows

Bernhard Geyer 7. Nov 2017 13:17

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Zitat:

Zitat von himitsu (Beitrag 1385458)
Zitat:

Zitat von CCRDude (Beitrag 1385440)
StundeDie alte Signatur nach SHA1 wird nicht mehr als Sicher angesehen.

Soll heißen, dass Windows diese Signaturen grundsätzlich ablehnt.

SHA1 kann als geknackt angesehen werden.
D.h. es ist keine Sicherheitsgewinn vorhanden wenn man einer SHA1-Signatur vertrauen würde.
AFAIK lehnen auch Browser Zertifikate von Webseiten ab welche nur SHA1 verwenden würden.

sh17 7. Nov 2017 14:08

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Welcher EV-Zertifikat-Anbieter ist denn vertrauenswürdig und ist es ggf. auch noch in einem halben Jahr? Die Frage nach günstig stelle ich gar nicht erst.

Bernhard Geyer 7. Nov 2017 14:10

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Zitat:

Zitat von sh17 (Beitrag 1385495)
Welcher EV-Zertifikat-Anbieter ist denn vertrauenswürdig und ist es ggf. auch noch in einem halben Jahr? Die Frage nach günstig stelle ich gar nicht erst.

Gibt den diese für normale Windows-Exe-Signierung?
https://de.wikipedia.org/wiki/Extend...ion-Zertifikat

CCRDude 7. Nov 2017 16:03

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
EV gibt's auch für codesigning, ja :)

z.B. von DigiCert. Siehe auch Microsoft dazu.

Sonst würd ich's ja nicht schreiben :)
Wir verwenden eines, daher kenne ich den Unterschied im Smartscreen aus eigener Erfahrung.

Alfonso 7. Nov 2017 22:17

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Smartscreen liefert immernoch den gleichen Fehler und immernoch keinen Herausgeber.

"c:\Program Files (x86)\Windows Kits\10\bin\x64\signtool.exe" sign /as /fd SHA256 /f "D:\projekte\Zertifikat.pfx" /p xxxxxxx /d "AAAAAA" /du "http://www.test.de" /n "Test GmbH" /tr http://sha256timestamp.ws.symantec.c.../timestamp/tsa D:\projekte\svn\Installation\Output\ver_11.0.5.729 e.exe

Was läuft falsch? Ich habe ein Zertifikat von ksoftware.net.

Michael II 8. Nov 2017 19:30

AW: Signierte Datei wird von Windows trotzdem bemängelt
 
Hallo Alfonso

hast du mal versucht, deine exe mit dem von ksoftware z.V. gestellten Tool zu signieren?

Ich rufe die CMD Version von ksoftware in einem Batchfile auf:

"C:\Program Files (x86)\kSign\kSignCMD.exe" /d "<produkt>" /du <www.firma.ch> /f "<key.pfx>" /p <Passwort> "<setup.exe>"

Windows 10 akzeptiert die Signatur.

Gruss
M


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:21 Uhr.
Seite 1 von 3  1 23   

Powered by vBulletin® Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2018 by Daniel R. Wolf