序2

20年前，没人会想到人类会在互联网上建立如此庞大的业务生态。从衣食住行到教育金融，每个领域都经历着巨大的网络变革。随着物联网和大数据技术的兴起，目前还没有看到这一变革的尽头。支撑互联网变革的技术基础中，HTTP是最为重要的应用层协议。

早期以信息发布为主的Web 1.0时代，HTTP已可以满足绝大部分需要。证书费用、服务器的计算资源都比较昂贵，作为HTTP安全扩展的HTTPS，通常只应用在登录、交易等少数环境中。但随着越来越多的重要业务往线上转移，网站对用户隐私和安全性也越来越重视。对于防止恶意监听、中间人攻击、恶意劫持篡改，HTTPS是目前较为可行的方案，全站HTTPS逐渐成为主流网站的选择。

微博已经在2017年实现了全站HTTPS。国外巨头Google除自身已经全站实现HTTPS外，也已经在Chrome浏览器中对使用HTTP协议的网站在地址栏显示“不安全”标签，同时也对HTTP网站在搜索引擎中降低了权重。考虑到Google的浏览器和搜索引擎的市场份额，全站HTTPS将是所有网站比较迫切的需求。

从技术角度上看，HTTP/2作为新一代的协议，虽然协议文本中并未强制要求加密，但主流的浏览器（Firefox、Chrome、Safari、Opera、IE、Edge）已共同宣布，它们只支持实现基于TLS的HTTP/2，也就是说加密将是下一代协议的强制事实标准。

和HTTP/HTTPS取得的巨大成功相比，它们可供参考的书籍显得非常匮乏。目前只有少量HTTP及HTTP/2书籍，大都定位于初学者，对专业开发和运维人员的需求照顾有限。相对于语言及框架类图书动辄半个书架的阵势，HTTP/HTTPS的资源实在太少了。

新浪邮箱作为国内历史悠久的邮箱，对于用户安全协议的实践，应该说获得了很多的经验。我的同事虞卫东，长期从事新浪博客、新浪邮箱等Web技术研发，对于HTTPS理论和实践颇有心得。在本书中，他系统地介绍了大量的基础理论知识，如CRL校验、OCSP模型、TLS协议等，并兼顾了如Wireshark在TLS/SSL协议中的使用、自动化测试HTTPS网站等实操。相信用心阅读本书的读者，一定可以从中深入了解他在这一领域的领悟。

微博技术团队也乐于和广大开发人员分享微博在HTTPS实践中的心得，欢迎大家关注 @微博平台架构 @微博技术学院了解后续相关公开技术活动。

微博研发副总经理　杨卫华