360回应安全龙虾数字证书和私钥泄露目前已吊销/仅在本地使用无安全风险

资讯来源：蓝点网 2026-03-18 00:09:57 阅读：0

蓝点网提到 360 安全龙虾不慎将通配符域名证书和私钥全部放在本地导致泄露，对数字证书而言私钥泄漏是非常严重的事情，因为可以通过证书本体和私钥发起 MiTM 中间人劫持。

360 安全龙虾出现这个问题是因为用户界面需要使用 HTTPS 安全连接，而服务器就是用户本机，所以要实现加密连接似乎也只能将证书和私钥都放在本地，但只要放在本地那就 100% 会泄露。

在收到多名安全研究员报告后，360 火速申请吊销已经被泄露的 *.myclaw.360.cn 通配符证书 (实际申请吊销时间应该是昨天上午)，目前这份泄露的证书已经作废。

360 安全团队也向蓝点网做出简单解释：

业务因失误将内部域名证书打包到安装包里，证书对应域名是 *.myclaw.360.cn，实际解析地址是 127.0.0.1 本地回环地址，该证书仅在本地使用，不会对外提供任何服务。

发现问题后 360 安全团队立即申请吊销这份证书，目前证书已经失效，无法再用于任何合法的 HTTPS 加密通信，普通用户也不会受到任何影响。

从 360 安全龙虾的运行逻辑来看这份证书泄露确实不会造成安全问题，尽管泄露到吊销期间仍然有劫持风险，不过考虑到用户访问的都是本机环境，所以劫持风险相对来说较低。

至于此次安全事故则纯粹是低级失误，不知道是不是因为 360 业务团队急于推出新产品而没有仔细设计整个架构，所幸 360 安全龙虾目前用户少且证书吊销及时，否则真可能造成更严重的安全问题。

延伸阅读

360安全龙虾不慎泄露360子域名的通配符证书和私钥目前等待吊销

360安全团队已紧急吊销泄露的证书，同时360安全团队也回应此次安全事故，具体请访问：360回应安全龙虾数字证书和私钥泄露目前已吊销/仅在本地使用无安全风险据蓝点网网友分享的消息，360 最新发布的
遭大规模恶意攻击！周鸿祎：360愿为DeepSeek提供安全服务

日前，中国人工智能初创公司DeepSeek在官网连续发布2条公告称，DeepSeek线上服务受到大规模恶意攻击，导致平台注册繁忙。对此，360集团创始人周鸿祎表示：“一家小公司能够惊动美西方这么多力量
各大搜索引擎蜘蛛爬虫UA汇总

了解各大搜索引擎蜘蛛爬虫的UA，对我们进行某些程序编写十分有用，例如网页判断客户端来源时，UA是常用的标准之一。本文收集了各大搜索引擎的蜘蛛爬虫UA，以便需要时查阅。百度“Mozilla/5.0 (c

[广告]赞助链接：

*文章为作者独立观点，不代表 SSLHUB 立场

本文由 TrustAsia发表，转载此文章须经作者同意，并请附上出处( SSLHUB )及本页链接。

原文链接 https://www.sslhub.cn/freessl/news/3727.html

360 OpenClaw 安全龙虾数字证书私钥蓝点网 360安全龙虾

关注KnowSafe微信公众号
随时掌握互联网精彩

360回应安全龙虾数字证书和私钥泄露 目前已吊销/仅在本地使用无安全风险