[更新] 绿联NAS严重安全缺点：竟把TLS证书和私钥揭露 可能会走漏用户私密数据

此前绿联 NAS 新品由于太多 BUG 曾引起很多评论，不过产品固件问题好歹不至于让用户露出在危险中，但没想到绿联 NAS 在安全范畴也是草台班子。

哔哩哔哩 UP 主 @某摆烂闲鱼 发布视频显现，绿联 NAS 在其体系控制面板中向用户供给 *.ugnas.cloud 和 *.ugnas.com 两个域名的通配符证书。

👇下图：能够在绿联 NAS 控制面板下载证书

👇下图：能够看到证书有用而且还顺便 PEM 私钥

👇下图：这份证书也顺便私钥，不过现已天然过期，不知道露出了多久

绿联供给这些域名的通配符证书本来意图应该是便利用户自定义绿联 NAS 的公网拜访域名并供给 HTTPS 加密服务，这种服务的确应该供给，这样能够让用户在公网中拜访 NAS 保存的文件。

但是不得不说绿联 NAS 产品团队中担任安全方面的工程师要么是没有、要么是不合格的，由于他们居然将 TLS 证书和私钥悉数供给给用户揭露下载。

TLS 证书最重要的东西便是私钥，实践上有了证书和私钥下一任何人都能够布置歹意服务器进行绑架，例如黑客能够对绿联 NAS 用户建议 MiTM 中间人进犯用来盗取账号和暗码等敏感数据。

👇下图：把绿联 NAS 证书导入服务器进行中间人绑架测验

👇下图：能够看到指向 UP 主自己服务器的测验有用

绿联的起点可能是好的但彻底没有最根底的安全意识，作为比照咱们举例群晖 NAS 和华硕路由器：

群晖：群晖 NAS 也相同供给绑定域名和 HTTPS 加密功用，但群晖向用户供给的是自签名证书而且没有私钥，其次用户能够请求 Let’s Encrypt 的免费证书亦或许上传自己从其他 CA 证书颁布组织请求的有用证书。

华硕：华硕路由器的 DDNS 相关功用也需求运用域名，华硕也经过自己的域名为用户供给子域名，但华硕不会向用户供给任何证书，用户能够上传自定义证书或许也请求 Let’s Encrypt 的免费证书。

以上两家厂商的做法现在也是职业比较通行的做法，既能够让用户经过 HTTPS 拜访进行安全加密，又不需求厂商自己供给能够广泛兼容的证书 (自签名证书不算)。

而绿联的做法就归于连最基本的网络安全知识都没有，将自己经过正规 CA 组织请求的证书和私钥露出给用户，不只给自己带来安全危险，一起还将广阔绿联 NAS 用户也悉数露出在危险中。

NAS 是网络附加存储的缩写，或许咱们都称之为私有云，这种产品本来就存储着用户私密的数据，绿联的这种安全实践给用户带来危险，这现已不是一个合格的 NAS 产品。

起先 @某摆烂闲鱼 是期望经过绿联 NAS 官方客服反应该问题的 (反应时刻为本周一、即 7 月 1 日)，成果客服对这个问题好像彻底不明白，客服不明白也不要紧，但至少也得把用户提交的反应转发给产品或技能团队，明显客服应该也没这么做。

👇下图：7 月 1 日就提交了反应但没有取得回应 注：反应安全问题绿联应当向 UP 供给奖金

直到这名 UP 视频宣布两天后，到 2024 年 7 月 5 日 05:32 (UTC+0，国内时刻为当日 13:32)，相关证书才被绿联请求撤消，（更新阐明：​纷歧定是绿联请求撤消的，由于私钥走漏其他用户也能够联络CA组织请求撤消），由于这是个安全缺点而非安全漏洞，所以撤消证书后其实危险点就现已被封堵了，至少这个问题接下来不会再引发更大的安全问题。

但是绿联 NAS 产品固件的公网拜访便是这么规划的，证书撤消后接下来用户将无法正常经过公网拜访，要么抛弃 HTTPS 加密却是能够持续拜访，所以绿联接下来还需求对整个公网拜访进行改造，从头规划相似的功用。

​更新：附绿联私有云团队官方回应

您好，咱们已定位到该问题归于体会账号，正式用户设备上没有这个证书，也不会用到这个证书和私钥，对正式用户不会有任何影响。咱们现已撤消该体会账号的证书。绿联 NAS 私有云团队十分重视并以力求​保证用户数据安全，感谢您对绿联 NAS 私有云的支撑。

​关于上述回应蓝点网的观点：

好音讯是这算是测验版中的“BUG”至少没有影响到正式版用户，不过​私钥露出的问题是实在存在的，也便是这个问题其实会影响到运用测验版的用户。

但即便是没有影响到正式版用户，把正规 TLS 证书私钥公布出来也是个十分没有安全知识的做法。

感谢蓝点网网友 shellwen 共享的音讯