Gate News 消息,3月16日,360近期发布的安全产品「安全龙虾」被发现将*.myclaw.360.cn的通配符域名证书及对应私钥直接打包在本地安装目录中。安全龙虾的界面基于定制版360浏览器,通过https://myclaw.360.cn:19798/本地地址访问,工程师为实现这一本地HTTPS连接,将通配符证书和私钥一并放入客户端。该通配符证书覆盖myclaw.360.cn下所有子域名,私钥泄露后第三方可伪造该域名下的HTTPS加密连接,证书目前尚未吊销。360 SRC团队回应称此事为内部已知问题,正在处理。
