360Claw 相关泛域名证书被曝连同私钥流出，这件事真正该盯的是吊销与轮换

有网友近日披露，与 360Claw 相关的 *.myclaw.360.cn SSL 证书及配套私钥疑似一并流出。就目前公开可核到的信息看，crt.sh 上确实可以查到对应泛域名证书记录：签发方为 WoTrus CA Limited，证书生效时间为 2026 年 3 月 12 日，到期时间为 2027 年 4 月 12 日。

但要分清两层信息：证书存在、签发时间和签发机构，可以从公开的证书透明度记录里看到；至于“完整私钥已外泄”这件事，目前公开可独立核实的部分仍然有限，至少在这次整理时，尚未看到官方说明。因此更稳妥的表述只能是：社区流传相关证书与私钥疑似泄露，若流传内容属实，风险会非常直接。

为什么私钥问题比证书本身更严重

公开证书本身并不奇怪，证书透明度体系本来就要求它可被检索。真正敏感的是私钥。

如果某个仍在有效期内的泛域名证书，连同对应私钥一起流出，那么问题就不再只是“信息被看到了”，而是攻击者理论上可能伪造对应站点身份，或者对未及时修补的链路发起中间人攻击。尤其是像 *.myclaw.360.cn 这种泛域名，一旦真的对应多个子域名场景，影响面就不会只落在单一服务上。

眼下最关键的，不是解释，而是处置动作

这类事件里，真正值得看的从来不是解释文案写得多漂亮，而是几个处置动作有没有立刻跟上：

• 相关证书是否已经吊销
• 服务端是否已经完成新证书和新私钥轮换
• 相关域名和边缘节点是否已经全部切换
• 是否排查过日志与异常访问，确认有没有被实际利用

如果这些动作足够快，风险窗口还能被压住；如果动作慢，哪怕只是短时间暴露，也可能把问题从“凭据泄露”放大成真实通信风险。

这件事也再次提醒了证书运维最脆弱的一环

很多团队对证书申请、自动续期和 HTTPS 上线已经很熟，但对私钥文件的存放、分发、调试链路和临时导出流程，未必有同样严格的控制。真正容易出事的，往往不是 CA 签发那一刻，而是证书下发之后，谁接触过私钥、私钥有没有被复制到不该出现的位置、测试和排障时有没有留下明文痕迹。

所以这次 360Claw 相关证书疑似泄露，就算后续被证实影响范围有限，它也还是一个很典型的提醒：证书安全的重点，从来不只在“有没有 HTTPS”，而在私钥是否被当成真正的高敏资产来管。

现在能确认到哪一步

目前能公开确认的，是 *.myclaw.360.cn 的证书记录确实存在，签发信息和有效期也都能在 crt.sh 上看到。至于社区流传的私钥内容是否完整、是否对应线上仍在使用的那把钥匙、是否已经完成吊销和替换，仍要等后续更明确的信息。

在官方进一步说明之前，这件事更适合被表述为一次需要严肃对待的疑似凭据泄露，而不是已经完全闭环的定性结论。

参考来源：crt.sh、社区流传信息。