#安全资讯 360 安全龙虾不慎泄露通配符域名证书和私钥，目前等待吊销。360 安全龙虾使用定制版 360 浏览器并使用 myclaw [.] 360 [.] cn 作为入口，为达成 HTTPS 访问 360 工程师直接将通配符证书和私钥都放在本地导致泄露，要解决这个问题或许应该采用自签名证书或局域网 IP 明文访问。查看全文：https://ourl.co/112186

据蓝点网网友分享的消息，360 最新发布的 360 安全龙虾不慎将域名证书和私钥同时打包在安全环境中，涉及的域名主要是 *.myclaw.360.cn，该域名负责安全龙虾相关入口的 HTTPS 连接。

360 安全龙虾界面采用定制版 360 安全浏览器，调用地址则是 https://myclaw.360.cn:19798/，要进行 HTTPS 连接那只能将证书和私钥放在本地。

这种加密连接实际上相当于将本机作为服务器使用，所以正确做法可能是使用自签名证书或者内网 IP 地址通过 HTTP 明文访问，否则很难处理证书和私钥问题。

360 工程师在开发安全龙虾时或许也遇到这个问题，所以直接将通配符域名证书和私钥全部放在本地环境中，这虽然可以确保域名正常访问，但也直接泄露私钥文件。

目前蓝点网还不清楚 360 工程师会如何解决这个问题，但想必要么通过局域网 IP 访问，要么就只能使用自签名证书了，至于泄露的证书则应当被立即吊销。

根据安装环境不同，证书路径略有差异：

#Windows 10/11 直装版证书路径：
C:\Users\用户名\AppData\Roaming\namiclaw\Application\components\Openclaw\openclaw\credentials
#Windows 10/11 WSL 版证书路径：
/path/to/namiclaw/components/Openclaw/openclaw.7z/credentials
#证书文件分别是：
myclaw.360.cn.crt
myclaw.360.cn.key

证书信息截图：