主要观点：

• HTTPS 比 HTTP 更安全，浏览器和网络社区推动其使用，如 Chrome 宣布默认标记 HTTP 网站为不安全。
• HTTPS 基于数学原理实现数据验证和加密，防止中间人攻击，但互联网是不可信通道，需解决公共密钥验证问题。
• 证书颁发机构（CA）解决公共密钥验证问题，浏览器选择信任一些 CA 来验证网站的公共密钥，但 CA 存在失误和被操纵的风险。
• 有多个知名 CA 出现问题，如 Symantec 犯错、DigiNotar 被黑客攻击、ICP-Brasil 可能恶意等，虽有 Certificate Transparency Logs 但仍存在风险。
• 互联网的安全依赖于多个独立的“信任存储”（如 Chrome、Mozilla、Apple、Windows 的信任存储），它们共同制定规则和处理 CA 问题，但仍存在被攻击的可能。

关键信息：

• HTTPS 能验证数据发送者和保护数据，通过数学原理利用网站的密钥对实现。
• 浏览器选择信任 CA 来验证网站公共密钥，签名后的公共密钥和签名一起称为证书。
• Symantec 在 2009 - 2015 年的测试环境中为多个网站签署有效证书，包括 www.google.com。
• DigiNotar 在 2011 年被黑客攻击，为 google.com 网站创建证书用于恶意拦截流量。
• ICP-Brasil 被报告为 google.com 颁发证书，存在恶意嫌疑，Windows 和 Edge 用户受影响。
• 有 4 个活跃的“信任存储”，共同制定规则和处理 CA 问题，但仍存在风险。

重要细节：

• Google 宣布 HTTP 网站默认标记为不安全以推动 HTTPS 使用。
• 数学原理利用 Diffie - Hellman 密钥交换、Transport Layer Security 的握手、椭圆曲线加密和公钥加密等。
• 证书透明度日志要求 CA 公开创建的每个证书，以便发现恶意行为。
• 信任存储的作用及相互关系，以及它们在处理 CA 问题上的工作方式。