譬如说，你的站点已经启用了 HSTS，甚至已经被固化到了浏览器内部。但是一个中间人仍然劫持了你的连接。你走了 HTTPS 协议？没问题，我也搞到了一个你所访问域名的 SSL 证书。要知道 SSL 连接使用的证书是服务端决定的，但是这个证书未必就是真正的域名所有人申请的。虽然普通人未必能搞到不属于你的域名的证书，但是证...