HTTPS

加密版的 HTTP 协议。

• Python 3.4.3, requests 2.6.0: 声明支持 session ID 和 session ticket，但是没有使用（保持了默认值^[1]）
• pycurl 7.19.5.1: 默认只支持 session ID，但是可以在 CURLOPT_SSL_CTX_FUNCTION 选项中自行开启^[2]
• 火狐 37.0.1: 都支持

• HTTP
• TLS
• stunnel
• sniproxy，（通过 SNI 扩展）按域名来分发请求的 HTTPS 透明代理
• HTTP/2

• [1]: 北京长城宽带劫持请求当作缓存，遭遇浏览器同源策略的阻止，导致脚本不响应。发生问题的页面是 http://www.busybox.net/live_bbox/live_bbox.html
• Solidot | 研究发现中国电信和联通会向网络注入虚假内容
• 为什么我们应该尽快升级到 HTTPS？ | JerryQu 的小站

• HTTPS的七个误解（译文） - 阮一峰的网络日志
• Google Online Security Blog: Maintaining digital certificate security. 印度 NIC 伪造 Google 证书事件
• Qualys SSL Labs - Projects / SSL Server Test
• Qualys SSL Labs - Projects / SSL Client Test
• HSTS Preload Submission
• Bits Up!: Opportunistic Encryption For Firefox
• Digital Media and Web Performance — Goodbye SHA-1 Certificates. Hello SHA-2!
• About the security partial trust allow list - Apple Support: 这里列出了所有被例外允许的 CNNIC 签名证书。
• Trustworthy Internet Movement - SSL Pulse
• TLS 握手优化详解 | JerryQu 的小站
• 关于启用 HTTPS 的一些经验分享（一） | JerryQu 的小站, （二）, （三）
• Hostile HTTPS interception on the modern web is now increasingly costly and risky
• 三种解密 HTTPS 流量的方法介绍 | JerryQu 的小站
• Security/Server Side TLS - MozillaWiki: Mozilla 推荐的 TLS 配置
• Let's Encrypt, automated, but please not as root - Siosm's blog
• HTTPS 常见部署问题及解决方案 | JerryQu 的小站
• Monsters in the Middleboxes: Introducing Two New Tools for Detecting HTTPS Interception
• 如何比较安全的配置 Web 服务器 - TLS 和 HTTPS - 约伊兹的萌狼乡手札

• 沃通（WoSign）证书问题
  • The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com
  • WoSign Incidents Report (September 4th 2016)（WoSign 官方报告，包含大量拼写和语法错误）
  • Solidot | 沃通被指秘密收购了StartCom，CEO发出威胁
  • CA:WoSign Issues - MozillaWiki
  • 老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿 @ 编程随想的博客
  • 每日安全资讯：国内CA机构沃通错误颁发GitHub域名SSL证书_新浪看点_手机新浪网
• 关于 WoSign 收购 StartCom 及其英文水平
  • Thoughts and Observations: StartCom operated solely by WoSign in China - an analysis of the new StartCom website

• SSL Server Test (Powered by Qualys SSL Labs), Qualys SSL Labs - Projects / SSL Client Test
• SSL Cipher Suites Supported By Your Browser
• Get HTTPS for free! 不需要额外工具就可以用 Let's Encrypt 啦。
• SSL/TLS安全评估报告
• https://badssl.com/ HTTPS 客户端不安全特性检测

• mozilla/cipherscan: A very simple way to find out which SSL ciphersuites are supported by a target.

• Ocsp Stapling 和iOS界面卡顿问题 - HuoJu's BLOG