宝塔面板网站一键解决HTTPS“窜站”漏洞

问题现象

域名 A.cn 未开启 HTTPS，但用浏览器强行访问 https://A.cn 时，竟然能打开，而且调用的是另一个站点 B.cn 的 SSL 证书。
网安扫描将此定性为 TLS 证书漏洞，要求整改。

尝试代码无效

想通过 PHP 代码强制跳转 HTTP，但请求在握手阶段就已错用证书，代码层面无法拦截。

解决方法（宝塔面板）

进入站点设置 → 高级设置 → 开启 HTTPS 防窜站。

开启后：

• 未开启 HTTPS 的站点，443 端口访问直接返回 404

• 不再借用其他站点的证书

• 网安漏洞检测顺利通过

一句话总结

一个开关解决窜站问题，别等被通报再着急。