最近在维护一个金融类Web服务时，遇到了一个难以排查的安全问题：部分用户在特定公共WiFi下访问网站时，浏览器突然提示连接不安全，但服务器证书配置正常，且绝大多数用户访问无异常。抓包分析发现，少数请求的TLS握手被劫持，强制降级到了HTTP，但攻击者的手法非常隐蔽，不是常规的中间人攻击工具所能模拟的。团队初步怀疑是本地网络设备或ISP层面对TLS协议字段做了恶意篡改，但尚未找到稳定复现路径。想请教社区：1. 除了常规的HSTS和证书钉扎，有没有更细粒度的监控方案，能在降级发生时快速捕捉到网络层和协议层的异常参数？2. 是否有开源工具或自定义脚本，能模拟这种选择性、低频率的TLS降级攻击，以便在测试环境复现和验证防护策略？3. 在客户端（尤其是移动端）如何实现轻量级的双向校验，避免被伪基站或恶意网关欺骗？期待大家分享实战经验和排查思路！