马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
对数字证书而言私钥泄漏是非常严重的事情,因为可以通过证书本体和私钥发起 MiTM 中间人劫持。 360 安全龙虾出现这个问题是因为用户界面需要使用 HTTPS 安全连接,而服务器就是用户本机,所以要实现加密连接似乎也只能将证书和私钥都放在本地,但只要放在本地那就 100% 会泄露。 在收到多名安全研究员报告后,360 火速申请吊销已经被泄露的 *.myclaw.360.cn 通配符证书 (实际申请吊销时间应该是昨天上午),目前这份泄露的证书已经作废。 业务因失误将内部域名证书打包到安装包里,证书对应域名是 *.myclaw.360.cn,实际解析地址是 127.0.0.1 本地回环地址,该证书仅在本地使用,不会对外提供任何服务。 发现问题后 360 安全团队立即申请吊销这份证书,目前证书已经失效,无法再用于任何合法的 HTTPS 加密通信,普通用户也不会受到任何影响。 从 360 安全龙虾的运行逻辑来看这份证书泄露确实不会造成安全问题,尽管泄露到吊销期间仍然有劫持风险,不过考虑到用户访问的都是本机环境,所以劫持风险相对来说较低。 至于此次安全事故则纯粹是低级失误,不知道是不是因为 360 业务团队急于推出新产品而没有仔细设计整个架构,所幸 360 安全龙虾目前用户少且证书吊销及时,否则真可能造成更严重的安全问题。
| 
IP卡
狗仔卡
发表于 2026-3-18 10:07
提升卡
置顶卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2026-3-18 22:09