360 Security Lobster wird vorgeworfen, private Schlüssel für HTTPS-Wildcard-Zertifikate in lokale Verzeichnisse zu packen

Gate News Nachrichten, am 16. März wurde entdeckt, dass das kürzlich von 360 veröffentlichte Sicherheitsprodukt „Sicherheits-Hummer“ das Wildcard-Zertifikat für *.myclaw.360.cn und den entsprechenden privaten Schlüssel direkt im lokalen Installationsverzeichnis enthält. Die Oberfläche von Sicherheits-Hummer basiert auf einer angepassten Version des 360 Browsers und wird über https://myclaw.360.cn:19798/ lokal aufgerufen. Um diese lokale HTTPS-Verbindung zu realisieren, wurden das Wildcard-Zertifikat und der private Schlüssel in den Client integriert. Das Wildcard-Zertifikat deckt alle Subdomains von myclaw.360.cn ab. Bei einem Schlüsselverlust könnte ein Dritter gefälschte HTTPS-Verbindungen für diese Domain herstellen. Das Zertifikat wurde bisher noch nicht widerrufen. Das 360 SRC-Team antwortete, dass es sich um ein intern bekanntes Problem handelt, das derzeit bearbeitet wird.