前两天有人跟我提起宝塔这个自签证书的设计，只需要安装一次根证书到电脑之后所有浏览器访问面板都不会提醒不安全，说这个设计好，太方便了，让我给 AcePanel 也加上。作为半个网络安全研究人员，我当时就怀疑宝塔这样验证搞不好有被钓鱼攻击的可能，后面实测发现钓鱼攻击确实可行，宝塔压根没做任何验证。 
这个问题前两天反馈之后以“危害较小”理由打回，我倒也不在意，既然打回了那就来公开聊聊吧，正好普及一下这方面的安全知识。 
 [image] 
首先需要知道宝塔的自签证书是如何生成的，在公开代码 BaoTa/tools.py at main · aaPanel/BaoTa · GitHub 中可以看到有 CreateSSL 函数。 
 [image] 
该函数首先获取了面板的用户信息，如果信息不存在则使用 uid 0 和 32 个 B 作为 access_key，再通过前面 get_host_all...