360回应“安全龙虾”私钥泄露事件：涉事SSL证书已吊销，普通用户不受影响

3月17日消息，“360安全龙虾”安装包中包含了属于360公司内部的SSL私钥与证书。该私钥对应域名为*.myclaw.360.cn，为通配符证书，可作用于该域名下的全部子站点。

针对这一安全疏漏，360公司回应第一财经称，已第一时间对涉事证书进行了吊销处理。

360方面表示，此次问题源于发布环节的失误，导致内部域名的网站证书被意外打包进安装包。问题发现后，公司已立即采取应急措施，完成对涉事证书的吊销操作，从技术层面阻断了攻击者利用该私钥伪造服务器、劫持流量的可能。目前该证书已经失效，从技术层面阻断了被利用来伪造服务器或劫持流量的可能性，因此普通用户不会因此受到影响。

据官方介绍，“360安全龙虾”的界面采用了定制版浏览器，其调用地址涉及对本地服务的HTTPS加密连接。

有技术分析指出，通常情况下，处理此类本地连接的正确方式应是使用自签名证书或采用HTTP明文访问，而直接将包含私钥的网站证书置于本地环境中，虽能实现连接目的，但直接导致了密钥的泄露。360方面将此归因于发布环节的失误，并表示已完成应急处理。

文章来源：IT之家

免责声明

1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。