HTTPS

当你打开浏览器，在地址栏输入一个网址并按下回车，几秒钟后网页就呈现在眼前。这个过程看似简单，背后却是HTTP协议在工作。无论是浏览网页、使用手机App，还是调用后台API，HTTP协议都在默默支撑着互联网的数据传输。理解HTTP，是理解Web世界的起点。 ...

2011年7月，荷兰证书颁发机构DigiNotar遭到黑客入侵。攻击者在两个月内颁发了531张欺诈性证书，涵盖了Google、Microsoft、Mozilla等多个顶级域名。这些伪造证书被用于对伊朗用户的Gmail进行中间人攻击——超过30万个伊朗IP地址的通信被截获。事件曝光后，所有主流浏览器在一周内将DigiNotar的根证书从信任库中移除。这家公司最终宣布破产。 ...

2014年4月，Heartbleed漏洞震惊全球。这个OpenSSL库中的缓冲区越界读取漏洞可能导致服务器私钥泄露，理论上需要立即撤销并重新签发所有受影响的证书。然而，马里兰大学的研究团队在三周后发现：超过73%的易受攻击证书未被重新签发，超过87%未被撤销。更令人担忧的是，撤销率在周末会显著下降——仿佛攻击者也会休息。 ...

2011年8月28日，一名伊朗用户在访问Gmail时发现浏览器显示的证书异常。这条看似微不足道的线索，揭开了一场影响超过30万人的大规模中间人攻击。攻击者不是破解了加密算法，也没有入侵Google的服务器——他们只是拿到了一张合法的证书。 ...

2014年，IETF TLS工作组收到了一份来自Eric Rescorla的提案。这份题为《draft-rescorla-tls13-new-flows》的文档开宗明义地提出了TLS 1.3的两大设计目标：减少往返次数、移除不安全特性。四年后，RFC 8446正式发布，TLS 1.3将握手延迟从2-RTT压缩到1-RTT，会话恢复场景更是达到了0-RTT。 ...