宝塔面板去掉SSL的RSA解决密钥交换漏洞

原创已于 2026-04-25 09:32:03 修改 · 350 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#ssl #网络 #安全

话题

#IT疑难杂症诊疗室

收录于

于 2026-02-13 16:20:23 首次发布

因为RSA的密钥交换漏洞的原因，需要在宝塔面板中去掉对应的RSA密钥交换算法

网站部分

网站部分的很好去掉，只需要在nginx配置上，去掉ssl_ciphers 中的RSA相关内容就可以，并且只保留TLS1.2和TLS1.3
如下

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:EECDH+AES256:EECDH+3DES:!MD5;

面板部分

这部分是比较麻烦的，因为面板本身并是使用宝塔自身所运行的服务的，证书及算法也是在其脚本中设定，所以只能去面板启动脚本中设置。
网络上并没有相关的面板服务文件的所在位置或者要相关说明，这个只能通过自己来查找了。
经过查找，发现其启动服务的文件为/www/server/panel/BT-Panel这个文件
打开后查找set_ciphers或者ssl相关设置，可以定位到是在180行（可能不同版本的会不一样，可搜索一下）的这段代码

# 设置加密套件
        ssl_context.set_ciphers("ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE")

我们需要在其中追加一个!RSA设置，即可以禁用掉RSA算法。

# 设置加密套件
        ssl_context.set_ciphers("ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE:!RSA")

修改后重启面板就可以了

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

chniccs

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Go 1.22 remote error: tls: handshake failure

Mike铭

07-23

2283

golang升级1.22后就会出错 remote error: tls: handshake failure

参与评论您还未登录，请先登录后发表或查看评论

Debian 10 Apache HTTPS 配置全指南：Let’s Encrypt 证书部署与 SSL 加固

weixin_34130389的博客

06-19

460

HTTPS 是现代 Web 服务的基础安全能力，其核心依赖于 SSL/TLS 协议实现加密传输与身份验证。原理上，它通过非对称加密协商会话密钥，再以对称加密保障通信效率，并由受信任的证书颁发机构（CA）签发数字证书来验证服务器身份。技术价值在于防止窃听、篡改和冒充，满足 PCI DSS、GDPR 等合规要求。典型应用场景包括企业官网、SaaS 平台、内部管理系统等需用户登录或传输敏感数据的服务。在 Debian 10 这一长期支持但组件较旧的发行版中，Apache 默认未启用 ssl_module 和 he

信创产品适配测试认证，域名和SSL是必须的吗？

极创信息的博客

06-14

550

归根结底，信创产品认证的本质是验证“国产化兼容性”和“自主可控能力”，而不是验证“你有没有备案域名”。域名和SSL证书是业务部署环节的事项，与产品认证本身并不是强绑定的关系。本文由极创信息整理，供学习交流使用，如若有误，欢迎后台指正。

C++20, 基于 OpenSSL EVP 接口的对称加密封装

太阳上的雨天

06-17

316

加密、解密、参数校验。不用每次手动创建 context、处理 padding、释放资源，基于 OpenSSL EVP 接口的对称加密封装库，C++20 编写。理论上只要是 OpenSSL 支持的对称算法都能用，传算法名就行。调一下 Encrypt / Decrypt 就完事了。

防火墙ssl使用默认证书+radius用户认证+短信网关对接+inode客户端案例

huainingning的博客

06-16

216

如上图，防火墙作为出口安全设备，对外配置NAT实现内网用户访问互联网，对内提供sslvpn服务器拨入，允许外部用户拨入sslvpn后再访问内网服务器资源，认证用户不在本地，而是在radius认证服务器上面。配置短信网关指向imc，imc对接了短信网关可以代理到短信网关设备。3.配置接入策略，用户组与防火墙设备上用户组要一致。配置sslvpn设备映射的公网地址和映射端口。配置sslvpn拨入后可以访问的地址段。2.1 防火墙SSLVPN配置。防火墙连接互联网接口配置NAT。5.配置接入服务，调用接入策略。

win上编译带ssl的paho-cpp库

weixin_60596960的博客

06-16

108

注意：使用cpp库时，依赖c库，所以使用时把c库的lib放在cpp的lib目录下。该脚本虽然没有显式指定 SSL 路径，但 CMake 会通过。

pnpm install报错ERR_SSL_PACKET_LENGTH_TOO_LONG问题解决

ASDQWE09876的博客

06-16

188

作为临时解决方案，你可以在 pnpm 命令中添加 --ssl-strict 参数来禁用严格的 SSL/TLS 验证（注意：这仅适用于调试目的，不应在生产环境中使用）。临时禁用 SSL/TLS 验证（不推荐用于生产环境）

【bug】Git 克隆 GitHub 报错 SSL connection timeout 完整排查与解决方案

qq_63683271的博客

06-20

755

表格报错关键词核心原因最快解法代理冲突 / 国际链路不稳定关闭代理 + 清除 Git 残留代理配置代理端口无效 / 网络不通检查代理状态或改用镜像源DNS 解析失败刷新 DNS 或更换公共 DNS证书验证失败检查系统时间 / 企业防火墙中间人本次经验沉淀：国内环境下遇到 GitHub 连接类报错，第一反应先检查代理状态，80% 的问题都能在 1 分钟内解决。不要一上来就折腾 Git 配置、更换软件版本，大概率是无用功。

SSL 证书链问题导致微信小程序无法正常工作

東₂₀₂₃²⁰²³

06-15

282

摘要：当出现"provisional headers are shown"问题时，可能是SSL证书配置不完整导致。通过在线工具检查发现证书缺少中级证书（Intermediate），可在myssl.com获取完整的证书链，将新证书内容覆盖服务器原有证书文件后，重新验证显示证书配置完整，问题解决。该方案适用于网页可访问但小程序或代理层出现SSL验证失败的情况。

Linux 网络应用层协议定制实战：从黏包处理到 Jsoncpp 序列化

我哎GIS博客

06-17

481

Linux 网络应用层协议定制实战：从黏包处理到 Jsoncpp 序列化

Vue2 + flv.js 对接海康威视摄像头实现数据大屏实时视频监控（完整方案）

pony君的博客

06-18

305

本文介绍了在Vue2数据大屏中对接海康威视摄像头的完整方案，解决浏览器无法直接播放RTSP流的问题。通过对比HTTP-FLV、HLS、WebRTC等技术方案，最终采用HTTP-FLV为主+HLS为备选的策略，利用flv.js和hls.js实现低延迟视频监控。文章详细说明了整体架构设计、前端实现代码（包括分屏布局、播放器初始化等关键代码），并分享了实际项目中的技术选型经验和解决方案。该方案适用于工业MES系统、仓储管理等需要实时监控的场景，支持2x2/4x4分屏切换，已在淀粉厂MES系统中成功应用。

【AI渗透工具】——AI驱动的MCP网络安全自动化平台（HexStrike AI ）

zhengfei611的博客

06-18

537

撰写任务提示时，通常不能简单地以“我希望你们对 X.com 网站进行渗透测试”开头，因为 LLM（学习型学习任务）通常都有一定的道德规范。因此，你需要先描述你的角色以及你与网站/任务的关系。例如，你可以先告诉 LLM 你是一名安全研究员，该网站归你或你的公司所有。然后，你还需要说明你希望它使用 hexstrike-ai 的 MCP 工具。HexStrike AI MCP v6.0 采用多智能体架构，具有自主 AI 智能体、智能决策和漏洞情报功能。请参考上面的视频，获取这些平台的详细步骤说明和集成示例。

瑞士网络安全趋势与发展

网络研究观

06-19

这些攻击表明，一个关键威胁是复杂且难以检测的勒索软件攻击的兴起，包括针对关键基础设施提供商的攻击，即使像瑞士这样的发达国家也容易受到可能造成严重破坏的网络攻击。

MPLS+SD-WAN 如何筑牢金融低时延交易网络

NOVAnet2023的博客

06-16

323

结合金融支付平台落地案例，详解 MPLS 骨干网叠加 SD-WAN、BGP 多线融合、主备链路切换等技术方案，解读支撑万级并发、毫秒级传输的金融组网架构。

Reactos 第 10 章网络操作 — 10.3.4 AFD驱动与Winsock

最新发布

大坡3D软件开发

06-20

237

本文摘要：本章节深入解析了Windows网络栈中AFD驱动与Winsock的协同工作机制。AFD（afd.sys）作为内核态的Winsock实现，负责socket内核对象管理、连接操作及异步通知；用户态的Winsock（ws2_32.dll + msafd.dll）则将socket API调用转化为对AFD设备的IOCTL控制命令。通过分层架构图展示了从应用程序到TCP/IP协议栈的完整调用链路，重点分析了socket()、bind()等核心API的实现路径及对应的IOCTL操作码。内容涵盖AFD驱动初始

民航ADS-B地面站Planevision

ADS-B和AIS

06-20

162

民航ADS-B地面站Planevision 是面向民航使用的专业机架式ADS-B地面站，属于专业工程机，性能卓越，稳定性高，功能强大。

Go语言分布式计算（RPC入门）

leo_yty的博客

06-15

434

本文回顾了远程过程调用（RPC）的核心概念与技术要点。RPC使远程函数调用看起来像本地调用，通过序列化解决异构性问题，但网络传输带来了延迟、故障等挑战。文章详细解析了RPC的10步交互流程（请求→序列化→传输→反序列化→执行→返回），并提供了Go语言实现RPC的代码示例（包括同步/异步调用方式）。同时探讨了MapReduce中的RPC应用模式，以及At-Least-Once和At-Most-Once两种容错策略。最后总结了RPC的透明性局限性和常见故障场景，强调网络环境下的调用语义是分布式系统的核心难题。全

MQTT over WebSocket

vb200811的博客

06-16

205

基于websocket 实现mqtt类似的订阅发布模式。

Python核心进阶三连：闭包装饰器、深浅拷贝、网络编程从原理到实战

m0_63267251的博客

06-14

384

本文通俗易懂地讲解了Python中闭包、装饰器与深浅拷贝的核心概念。通过生活化类比和可运行实例，详细介绍了闭包的保存变量特性、装饰器的功能扩展原理，以及通用装饰器的使用方法。文章还涵盖了多个装饰器的嵌套执行顺序、带参数装饰器的实现技巧，并提供了深浅拷贝的对比示例，帮助读者掌握这些在实际项目和面试中常用的Python知识点。

3.HCIP OSPF补充知识

2301_78572047的博客

06-13

434

本文介绍了OSPF协议中的几个关键知识点： DD报文MTU检查机制：华为设备默认不检查MTU，启用ospf mtu-enable后才会检查，MTU不一致会导致邻居卡在Exstart状态。网络类型：OSPF支持广播、NBMA、P2P和P2MP四种网络类型，两端接口类型必须一致才能建立邻居。 DR/BDR选举：基于优先级和Router ID的非抢占式选举，使用组播地址224.0.0.5和224.0.0.6进行通信。 LSA生命周期：LSA默认每30分钟刷新，60分钟老化，路由器通过序列号、校验和和老旧时间判断