大家好,我是武铭,全栈开发程序员。
这几天360 做了一个魔幻的操作!
刚推出的安全龙虾产品,直接把域名证书和私钥打包进安装包导致泄露,还好官方反应够快,火速吊销问题证书,才没让小失误酿成大麻烦。
先给吃瓜朋友科普下关键知识点:数字证书相当于网络世界的 “身份证”,私钥就是对应这张身份证的 “独门密码”。
两者同时泄露,后果可不小 —— 别有用心的人能拿着这套信息发起MiTM 中间人劫持,简单说就是在设备通信中插一脚,冒充正规服务器套取信息,相当于有人拿着你的身份证和密码冒充你办事,想想都后怕。
好好的,咋就把私钥泄露了?
这事说到底,还是 360 安全龙虾的运行逻辑特殊,再加上团队的低级操作。
这款产品的用户界面需要走 HTTPS 加密连接,但这个 “服务器” 其实就是用户自己的电脑,相当于电脑自己跟自己加密聊天。
为了实现这个操作,开发团队把对应*.myclaw.360.cn域名的证书和私钥都放在了本地。
结果因为业务失误,直接把包含证书和私钥的文件打包进了安装包,等于把 “身份证 + 密码” 直接塞给了所有下载用户,这波失误属实不应该。
官方火速补救,证书已作废无安全风险
好在安全研究员发现问题后第一时间报告,360 安全团队的补救速度拉满。
官方在昨天上午就申请吊销了这份泄露的通配符证书,目前该证书已经彻底作废,无法再用于任何合法的 HTTPS 加密通信。
针对这次泄露,360 也做出了正式解释:
此次泄露的证书仅对应127.0.0.1本地回环地址,只在用户本机使用,不对外提供任何服务。
即便泄露到吊销的窗口期有理论上的劫持风险,但因为都是本机环境通信,实际风险极低,普通用户完全不会受到影响。
这坑该咋填?业内已有解决方案
很多人好奇,既然本地通信要做加密,又怕证书私钥泄露,到底该咋做才对?
其实业内早有成熟解决方案,根本没必要用正规的通配符域名证书:
要么换成局域网 IP 地址走 HTTP 明文访问,要么直接使用自签名证书。
毕竟只是电脑本地的内部通信,用这两种方式既省事又能从根源避免私钥泄露的问题,就看 360 工程师后续会不会按这个思路整改了。
赶进度别忘守安全
说实在的,360 作为安全领域的老牌厂商,新产品栽在最基础的证书管理上,多少有点打脸。
大概率是团队急于推出新产品,没仔细设计架构才出了这茬事。万幸的是,安全龙虾目前用户量不多,再加上证书吊销及时,才没造成更严重的后果。
这次事件也给所有科技公司提了个醒:新产品上线再急,基础的安全检查也不能少,不然一不小心,就成了吃瓜群众的谈资咯!
也蹲一波 360 的后续整改,毕竟做安全产品,细节才是硬道理~
最后
觉得武铭这篇文章写的不错的,对 AI 感兴趣的,可以私信武铭 AI 两个字,武铭送你一份 openGlaw 的全保姆使用手册,助你在 AI 浪潮中做个弄潮儿。
