360回应安全龙虾数字证书和私钥泄露 目前已吊销/仅在本地使用无安全风险

蓝点网提到 360 安全龙虾不慎将通配符域名证书和私钥全部放在本地导致泄露，对数字证书而言私钥泄漏是非常严重的事情，因为可以通过证书本体和私钥发起 MiTM 中间人劫持。

360 安全龙虾出现这个问题是因为用户界面需要使用 HTTPS 安全连接，而服务器就是用户本机，所以要实现加密连接似乎也只能将证书和私钥都放在本地，但只要放在本地那就 100% 会泄露。

在收到多名安全研究员报告后，360 火速申请吊销已经被泄露的 *.myclaw.360.cn 通配符证书 (实际申请吊销时间应该是昨天上午)，目前这份泄露的证书已经作废。

360 安全团队也向蓝点网做出简单解释：

业务因失误将内部域名证书打包到安装包里，证书对应域名是 *.myclaw.360.cn，实际解析地址是 127.0.0.1 本地回环地址，该证书仅在本地使用，不会对外提供任何服务。

发现问题后 360 安全团队立即申请吊销这份证书，目前证书已经失效，无法再用于任何合法的 HTTPS 加密通信，普通用户也不会受到任何影响。

从 360 安全龙虾的运行逻辑来看这份证书泄露确实不会造成安全问题，尽管泄露到吊销期间仍然有劫持风险，不过考虑到用户访问的都是本机环境，所以劫持风险相对来说较低。

至于此次安全事故则纯粹是低级失误，不知道是不是因为 360 业务团队急于推出新产品而没有仔细设计整个架构，所幸 360 安全龙虾目前用户少且证书吊销及时，否则真可能造成更严重的安全问题。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/