ssl - 当 HTTPS 站点使用 "ISRG Root X1"CA 时，Python3.4+requests 2.26 无法验证 SSL 证书 - 为什么？

Question

我的环境是:
Windows 10、Python 3.4.3、请求 2.26.0

代码是这样的:

requests.get("https://example.com/")

当 example.com 的 SSL 证书 CA 不是 ISRG root X1 (letsencrypt) 时，上面的调用是可以的。
(例如: https://www.baidu.com/ 只是普通证书) 但是，当example.com的证书CA为“ISRG root X1”时，会出现以下错误: (例如:https://www.farmersworld.io其证书是由letsencrypt颁发的)

我检查了 certifi.where() 和 cacert.pem 文件，在其中我看到了上面的 CA 内容，换句话说，我确实在 cacert.pem 中看到了 ISRG 的 CA 证书内容。所以我很困惑为什么会发生这种情况。普通网站和LetsEncrypt网站的CA都在cacert.pem文件中，为什么它们有不同的行为？另外，当我从cacert.pem中删除正常网站的CA时，正常网站将无法通过HTTPS访问，这证明cacert.pem确实被requests库使用了。

Traceback (most recent call last):
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 706, in urlopen
    chunked=chunked,
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 382, in _make_request
    self._validate_conn(conn)
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 1010, in _validate_conn
    conn.connect()
  File "C:\Python34\lib\site-packages\urllib3\connection.py", line 426, in connect
    tls_in_tls=tls_in_tls,
  File "C:\Python34\lib\site-packages\urllib3\util\ssl_.py", line 450, in ssl_wrap_socket
    sock, context, tls_in_tls, server_hostname=server_hostname
  File "C:\Python34\lib\site-packages\urllib3\util\ssl_.py", line 493, in _ssl_wrap_socket_impl
    return ssl_context.wrap_socket(sock, server_hostname=server_hostname)
  File "C:\Python34\lib\ssl.py", line 365, in wrap_socket
    _context=self)
  File "C:\Python34\lib\ssl.py", line 583, in __init__
    self.do_handshake()
  File "C:\Python34\lib\ssl.py", line 810, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "C:\Python34\lib\site-packages\requests\adapters.py", line 449, in send
    timeout=timeout
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 756, in urlopen
    method, url, error=e, _pool=self, _stacktrace=sys.exc_info()[2]
  File "C:\Python34\lib\site-packages\urllib3\util\retry.py", line 574, in increment
    raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='farmersworld.io', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'),))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "C:\Python34\lib\site-packages\requests\api.py", line 75, in get
    return request('get', url, params=params, **kwargs)
  File "C:\Python34\lib\site-packages\requests\api.py", line 61, in request
    return session.request(method=method, url=url, **kwargs)
  File "C:\Python34\lib\site-packages\requests\sessions.py", line 542, in request
    resp = self.send(prep, **send_kwargs)
  File "C:\Python34\lib\site-packages\requests\sessions.py", line 655, in send
    r = adapter.send(request, **kwargs)
  File "C:\Python34\lib\site-packages\requests\adapters.py", line 514, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='farmersworld.io', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'),))```

Answer 1

旁白:您的文字显示 www.farmersworld.io但你的堆栈跟踪显示farmersworld.io；这些是不同的站点，具有不同的证书，但都来自具有兼容性链的 LE，因此都存在相同的问题。

重要的不是 Python，而是 Python 3.4.3 可以追溯到 2015 年，当时 OpenSSL 1.0.2 是最新的，而 OpenSSL 1.0.2 在尝试验证 LE 默认使用的链时(从 ISRG 自己的根桥接至当新的 ISRG 根和旧/过时的 DST 根都位于信任库中时，过期的 DST X3 根以支持旧的 Android 版本)会错误地失败。

是的，默认情况下，python requests 确实使用 certifi 提供的 cacert 文件。我不清楚 Mozilla 是否真的删除了过时的证书； curl.se 是这么认为的，但是certifi doesn't seem to .

您可以从 cacert 文件中手动删除 DST X3，尽管修改包管理的文件通常不是一个好主意；更干净地，您可以制作一个副本并从中删除，然后设置 envvar REQUESTS_CA_BUNDLE 和/或修改您的代码以使用该副本。或者，您可以使用使用 OpenSSL 1.1.0 版本构建的 python，我希望从 2017 年开始就应该如此。或者，如果您对服务器有影响(或控制)，请让他们配置 LE(例如通过 certbot)以使用“仅 ISRG”链。

官方解释参见https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/和 https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/ .