Python 请求获取 SSLerror答案

【问题标题】：Python Requests getting SSLerrorPython 请求获取 SSLerror
【发布时间】：2015-04-24 09:59:56
【问题描述】：

尝试使用请求会话发出简单的获取请求，但我不断收到特定站点的 SSLerror。我认为问题可能出在网站上（我使用https://www.ssllabs.com 进行了扫描，结果如下），但我不能确定，因为我对这方面一无所知:) 我很想了解发生了什么.

解决方案/解释会很棒，谢谢！

代码：

import requests

requests.get('https://www.reporo.com/')

我收到下一个错误：

SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]

---------------------------------------------------------------------------
SSLError                                  Traceback (most recent call last)
<ipython-input-7-cfc21b287fee> in <module>()
----> 1 requests.get('https://www.reporo.com/')

/usr/local/lib/python2.7/dist-packages/requests/api.pyc in get(url, **kwargs)
     63 
     64     kwargs.setdefault('allow_redirects', True)
---> 65     return request('get', url, **kwargs)
     66 
     67 

/usr/local/lib/python2.7/dist-packages/requests/api.pyc in request(method, url, **kwargs)
     47 
     48     session = sessions.Session()
---> 49     response = session.request(method=method, url=url, **kwargs)
     50     # By explicitly closing the session, we avoid leaving sockets open which
     51     # can trigger a ResourceWarning in some cases, and look like a memory leak

/usr/local/lib/python2.7/dist-packages/requests/sessions.pyc in request(self, method, url, params, data, headers, cookies, files, auth, timeout, allow_redirects, proxies, hooks, stream, verify, cert, json)
    459         }
    460         send_kwargs.update(settings)
--> 461         resp = self.send(prep, **send_kwargs)
    462 
    463         return resp

/usr/local/lib/python2.7/dist-packages/requests/sessions.pyc in send(self, request, **kwargs)
    571 
    572         # Send the request
--> 573         r = adapter.send(request, **kwargs)
    574 
    575         # Total elapsed time of the request (approximately)

/usr/local/lib/python2.7/dist-packages/requests/adapters.pyc in send(self, request, stream, timeout, verify, cert, proxies)
    429         except (_SSLError, _HTTPError) as e:
    430             if isinstance(e, _SSLError):
--> 431                 raise SSLError(e, request=request)
    432             elif isinstance(e, ReadTimeoutError):
    433                 raise ReadTimeout(e, request=request)

SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]

我在https://www.ssllabs.com 进行了扫描，得到了以下信息：

SSL Report: reporo.com
Assessed on:  Sun Feb 22 21:42:57 PST 2015 | Clear cache Scan Another >>

    Server  Domain(s)   Test time   Grade
1   154.51.128.13 
Certificate not valid for domain name 
reporo.com
Sun Feb 22 21:40:53 PST 2015 
Duration: 9.167 sec -
2   198.12.15.168 
protected.ddosdefend.com 
Ready 
www.reporo.com

Sun Feb 22 21:41:02 PST 2015 
Duration: 115.189 sec   
F

【问题讨论】：

服务器正在使用无效的证书，正如报告所说的那样。因此，requests 拒绝连接，因为信息传输可能不安全。
有没有我可以使用的解决方法？

标签： python ssl ssl-certificate python-requests

【解决方案1】：

www.reporo.com（不是 reporo.com）的证书本身是有效的，但它缺少链式证书，如ssllabs 报告中所示：

Chain issues    Incomplete
....
2   Extra download  Thawte DV SSL CA 
Fingerprint: 3ca958f3e7d6837e1c1acf8b0f6a2e6d487d6762

“不完整”和“额外下载”是重点。一些浏览器会缓存丢失的链证书，其他浏览器会下载，其他浏览器会失败。如果您使用新的 Firefox 配置文件（没有缓存任何证书）尝试该站点，它也会失败。

您可以下载缺少的链证书并将其用作受信任的 CA 证书，并带有 verify 参数用于请求。不要仅仅禁用验证，因为那样你就容易受到中间人攻击。

分步说明：

在https://ssl-tools.net/certificates/vqgvhb-thawte-dv-ssl-ca 下载丢失的证书（通过搜索 SSLLabs 报告中给出的指纹找到）。下载 PEM 格式的文件，即https://ssl-tools.net/certificates/3ca958f3e7d6837e1c1acf8b0f6a2e6d487d6762.pem。
在https://ssl-tools.net/certificates/91c6d6ee3e8ac86384e548c299295c756c817b81.pem下载根证书（也可以通过搜索指纹找到）。
将两个文件合并成一个新文件chain.pem。确保每个文件都以有效的行尾字符结尾（它们不是下载的）。生成的文件应该看起来像 like this。

修改你的调用

requests.get('https://www.reporo.com/', verify = 'chain.pem')

【讨论】：

能否详细说明如何下载和使用CA证书？（或有关该主题的链接）该主题对我来说是新的，我想避免搞砸:)
我已在答案中添加了分步说明。
据我所知，我已经尝试了解决方案，但我不断收到 SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed' )]。 ://
看起来他们已经改变了他们的网站。现在它改为使用默认 CA 路径，即您不需要添加特定路径。显式路径不再起作用，因为当前证书需要另一个信任链。
@Albert：他们自 2015 年以来更改了界面。您现在必须单击“单击此处展开”以获取证书路径的确切详细信息以及缺少哪些证书（即额外下载）。您只需使用 google 或类似工具搜索显示的指纹即可找到这些证书以供下载。

【解决方案2】：

您可以禁用证书验证：

requests.get('https://www.reporo.com/', verify=False)

但没有证书验证就没有man-in-the-middle attack 保护。

【讨论】：

请永远不要在不指出安全隐患的情况下建议禁用验证。

【解决方案3】：

我有同样的错误。将请求从 requests-2.17.3 降级到 requests-2.11.0 为我解决了这个问题。

pip uninstall requests
pip install requests==2.11.0

【讨论】：

知道这两个版本之间的哪些变化会导致握手中断吗？

【解决方案4】：

遇到类似问题并通过以下方式修复：

pip install -U requests[security]

【讨论】：

【解决方案5】：

当网站具有由浏览器确定的有效证书但服务器未提供完整的证书链时，Steffen Ullrich 给出了最佳答案。

有时只是缺少根证书或中间证书，并且浏览器可以即时下载或验证丢失的证书，但使用请求模块，您将需要手动验证它。我使用SSL labs 将完整的证书链确定为 .pem 文件。输入感兴趣的网址，等待测试完成。然后导航到并展开“认证路径”。可能有多个受信任的路径（或没有，在这种情况下最终请求不会成功），并且在右侧您会看到一个下载链按钮。

将整个链复制为文本并将其保存为 .pem 文件。然后在发出请求时将此 .pem 文件的路径传递给 requests 函数：

r = requests.get(url, verify= "path/to/chain.pem")

【讨论】：