360 безпека Лангвіа повідомляється, що приватний ключ HTTPS-сертифіката з універсальним символом був упакований у локальний каталог

Gate News повідомляє, що 16 березня 2024 року було виявлено, що недавно випущений безпековий продукт «Безпечний омар» від 360 містить у собі сертифікат із зірочкою для *.myclaw.360.cn та відповідний приватний ключ, які були безпосередньо зібрані у локальну директорію встановлення. Інтерфейс «Безпечного омара» базується на кастомізованій версії браузера 360 і доступний через https://myclaw.360.cn:19798/локальну адресу. Інженери для реалізації локального HTTPS-з’єднання помістили сертифікат із зірочкою та приватний ключ у клієнтську частину. Цей сертифікат із зірочкою охоплює всі піддомени myclaw.360.cn. У разі витоку приватного ключа сторонні особи зможуть підробляти HTTPS-з’єднання для цього домену. Сертифікат наразі ще не відкликаний. Команда 360 SRC відповіла, що це внутрішня відома проблема, і вона вже вирішується.