360 回应“安全龙虾”私钥泄露事件:涉事证书已吊销,普通用户不受影响
IT之家
3月17日消息,昨日有网友发现“360安全龙虾”安装包中包含了属于360公司内部的SSL私钥与证书。该私钥对应域名为*.myclaw.360.cn,为通配符证书,可作用于该域名下的全部子站点。
针对这一安全疏漏,360公司回应第一财经称,已第一时间对涉事证书进行了吊销处理。
360方面表示,此次问题源于发布环节的失误,导致内部域名的网站证书被意外打包进安装包。问题发现后,公司已立即采取应急措施,完成对涉事证书的吊销操作,从技术层面阻断了攻击者利用该私钥伪造服务器、劫持流量的可能。目前该证书已经失效,从技术层面阻断了被利用来伪造服务器或劫持流量的可能性,因此普通用户不会因此受到影响。
据官方介绍,“360安全龙虾”的界面采用了定制版浏览器,其调用地址涉及对本地服务的HTTPS加密连接。
有技术分析指出,通常情况下,处理此类本地连接的正确方式应是使用自签名证书或采用HTTP明文访问,而直接将包含私钥的网站证书置于本地环境中,虽能实现连接目的,但直接导致了密钥的泄露。360方面将此归因于发布环节的失误,并表示已完成应急处理。
责编:左右
免责声明:凡注明为其它来源的信息均转自其它平台,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本站联系,我们将及时更正、删除,谢谢。联系邮箱:gaochanggong@szw.org.cn