我的环境是:
Windows 10、Python 3.4.3、请求 2.26.0
代码是这样的:
requests.get("https://example.com/")
当 example.com 的 SSL 证书 CA 不是 ISRG root X1 (letsencrypt) 时,上面的调用是可以的。
(例如: https://www.baidu.com/ 只是普通证书)
但是,当example.com的证书CA为“ISRG root X1”时,会出现以下错误:
(例如:https://www.farmersworld.io其证书是由letsencrypt颁发的)
我检查了 certifi.where() 和 cacert.pem 文件,在其中我看到了上面的 CA 内容,换句话说,我确实在 cacert.pem 中看到了 ISRG 的 CA 证书内容。所以我很困惑为什么会发生这种情况。普通网站和LetsEncrypt网站的CA都在cacert.pem文件中,为什么它们有不同的行为?另外,当我从cacert.pem中删除正常网站的CA时,正常网站将无法通过HTTPS访问,这证明cacert.pem确实被requests库使用了。
Traceback (most recent call last):
File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 706, in urlopen
chunked=chunked,
File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 382, in _make_request
self._validate_conn(conn)
File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 1010, in _validate_conn
conn.connect()
File "C:\Python34\lib\site-packages\urllib3\connection.py", line 426, in connect
tls_in_tls=tls_in_tls,
File "C:\Python34\lib\site-packages\urllib3\util\ssl_.py", line 450, in ssl_wrap_socket
sock, context, tls_in_tls, server_hostname=server_hostname
File "C:\Python34\lib\site-packages\urllib3\util\ssl_.py", line 493, in _ssl_wrap_socket_impl
return ssl_context.wrap_socket(sock, server_hostname=server_hostname)
File "C:\Python34\lib\ssl.py", line 365, in wrap_socket
_context=self)
File "C:\Python34\lib\ssl.py", line 583, in __init__
self.do_handshake()
File "C:\Python34\lib\ssl.py", line 810, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "C:\Python34\lib\site-packages\requests\adapters.py", line 449, in send
timeout=timeout
File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 756, in urlopen
method, url, error=e, _pool=self, _stacktrace=sys.exc_info()[2]
File "C:\Python34\lib\site-packages\urllib3\util\retry.py", line 574, in increment
raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='farmersworld.io', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'),))
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "C:\Python34\lib\site-packages\requests\api.py", line 75, in get
return request('get', url, params=params, **kwargs)
File "C:\Python34\lib\site-packages\requests\api.py", line 61, in request
return session.request(method=method, url=url, **kwargs)
File "C:\Python34\lib\site-packages\requests\sessions.py", line 542, in request
resp = self.send(prep, **send_kwargs)
File "C:\Python34\lib\site-packages\requests\sessions.py", line 655, in send
r = adapter.send(request, **kwargs)
File "C:\Python34\lib\site-packages\requests\adapters.py", line 514, in send
raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='farmersworld.io', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'),))```
最佳答案
旁白:您的文字显示 www.farmersworld.io但你的堆栈跟踪显示farmersworld.io;这些是不同的站点,具有不同的证书,但都来自具有兼容性链的 LE,因此都存在相同的问题。
重要的不是 Python,而是 Python 3.4.3 可以追溯到 2015 年,当时 OpenSSL 1.0.2 是最新的,而 OpenSSL 1.0.2 在尝试验证 LE 默认使用的链时(从 ISRG 自己的根桥接至当新的 ISRG 根和旧/过时的 DST 根都位于信任库中时,过期的 DST X3 根以支持旧的 Android 版本)会错误地失败。
是的,默认情况下,python requests 确实使用 certifi 提供的 cacert 文件。我不清楚 Mozilla 是否真的删除了过时的证书; curl.se 是这么认为的,但是certifi doesn't seem to .
您可以从 cacert 文件中手动删除 DST X3,尽管修改包管理的文件通常不是一个好主意;更干净地,您可以制作一个副本并从中删除,然后设置 envvar REQUESTS_CA_BUNDLE 和/或修改您的代码以使用该副本。或者,您可以使用使用 OpenSSL 1.1.0 版本构建的 python,我希望从 2017 年开始就应该如此。或者,如果您对服务器有影响(或控制),请让他们配置 LE(例如通过 certbot)以使用“仅 ISRG”链。
官方解释参见https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/和 https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/ .
关于ssl - 当 HTTPS 站点使用 "ISRG Root X1"CA 时,Python3.4+requests 2.26 无法验证 SSL 证书 - 为什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70416378/