Python 请求出现 SSL 错误
Python Requests getting SSLerror
尝试使用 Requests 会话发出简单的获取请求,但我不断收到特定站点的 SSLerror。我认为问题可能出在网站上(我使用 https://www.ssllabs.com 进行了扫描,结果如下所示),但我不能确定,因为我不了解这方面的知识 :) 我肯定想了解什么是继续。
一个solution/explanation就太好了,
谢谢!
代码:
import requests
requests.get('https://www.reporo.com/')
我遇到下一个错误:
SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
---------------------------------------------------------------------------
SSLError Traceback (most recent call last)
<ipython-input-7-cfc21b287fee> in <module>()
----> 1 requests.get('https://www.reporo.com/')
/usr/local/lib/python2.7/dist-packages/requests/api.pyc in get(url, **kwargs)
63
64 kwargs.setdefault('allow_redirects', True)
---> 65 return request('get', url, **kwargs)
66
67
/usr/local/lib/python2.7/dist-packages/requests/api.pyc in request(method, url, **kwargs)
47
48 session = sessions.Session()
---> 49 response = session.request(method=method, url=url, **kwargs)
50 # By explicitly closing the session, we avoid leaving sockets open which
51 # can trigger a ResourceWarning in some cases, and look like a memory leak
/usr/local/lib/python2.7/dist-packages/requests/sessions.pyc in request(self, method, url, params, data, headers, cookies, files, auth, timeout, allow_redirects, proxies, hooks, stream, verify, cert, json)
459 }
460 send_kwargs.update(settings)
--> 461 resp = self.send(prep, **send_kwargs)
462
463 return resp
/usr/local/lib/python2.7/dist-packages/requests/sessions.pyc in send(self, request, **kwargs)
571
572 # Send the request
--> 573 r = adapter.send(request, **kwargs)
574
575 # Total elapsed time of the request (approximately)
/usr/local/lib/python2.7/dist-packages/requests/adapters.pyc in send(self, request, stream, timeout, verify, cert, proxies)
429 except (_SSLError, _HTTPError) as e:
430 if isinstance(e, _SSLError):
--> 431 raise SSLError(e, request=request)
432 elif isinstance(e, ReadTimeoutError):
433 raise ReadTimeout(e, request=request)
SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
我 运行 在 https://www.ssllabs.com 进行了扫描,得到了以下信息:
SSL Report: reporo.com
Assessed on: Sun Feb 22 21:42:57 PST 2015 | Clear cache Scan Another >>
Server Domain(s) Test time Grade
1 154.51.128.13
Certificate not valid for domain name
reporo.com
Sun Feb 22 21:40:53 PST 2015
Duration: 9.167 sec -
2 198.12.15.168
protected.ddosdefend.com
Ready
www.reporo.com
Sun Feb 22 21:41:02 PST 2015
Duration: 115.189 sec
F
www.reporo.com(不是 reporo.com)的证书本身有效,但它缺少链证书,如 ssllabs:
的报告所示
Chain issues Incomplete
....
2 Extra download Thawte DV SSL CA
Fingerprint: 3ca958f3e7d6837e1c1acf8b0f6a2e6d487d6762
"Incomplete"和"Extra download"是重点。一些浏览器将缓存丢失的链证书,其他浏览器将进行下载,而其他浏览器将失败。如果您使用新的 Firefox 配置文件(没有缓存任何证书)尝试该站点,它也会失败。
您可以下载丢失的链证书并将其用作受信任的 CA 证书,并带有请求的 verify 参数。不要只是禁用验证,因为这样你就容易受到中间人攻击。
分步说明:
- 在 https://ssl-tools.net/certificates/vqgvhb-thawte-dv-ssl-ca (found by searching for the fingerprint given in the report from SSLLabs). Download the file in PEM format, i.e. https://ssl-tools.net/certificates/3ca958f3e7d6837e1c1acf8b0f6a2e6d487d6762.pem 下载丢失的证书。
- 在https://ssl-tools.net/certificates/91c6d6ee3e8ac86384e548c299295c756c817b81.pem下载根证书(也是通过搜索指纹找到的)
- 将两个文件合并到一个新文件中
chain.pem。确保每个文件确实以有效的行尾字符结尾(它们不是下载的)。生成的文件应该看起来 like this.
将您的呼叫修改为
requests.get('https://www.reporo.com/', verify = 'chain.pem')
您可以禁用证书验证:
requests.get('https://www.reporo.com/', verify=False)
但是没有证书验证就没有man-in-the-middle attack保护。
我有同样的错误。将请求从 requests-2.17.3 降级到 requests-2.11.0 为我解决了这个问题。
pip uninstall requests
pip install requests==2.11.0
运行 进入类似问题并通过以下方式修复:
pip install -U requests[security]
对于网站具有由浏览器确定的有效证书但服务器未提供完整证书链的情况,Steffen Ullrich 有最佳答案。
有时只是缺少根证书或中间证书,浏览器可以即时下载或验证丢失的证书,但使用请求模块,您将需要手动验证它。我使用 SSL labs 将完整的证书链确定为 .pem 文件。在感兴趣的网站输入url,等待测试完成。然后导航到并展开“认证路径”。可能有多个受信任路径(或 none,在这种情况下最终请求不会成功),在右侧您会看到一个下载链按钮。
将完整链复制为文本并将其另存为 .pem 文件。然后你在发起请求的时候把这个.pem文件的路径传给requests函数:
r = requests.get(url, verify= "path/to/chain.pem")
使用 MimT 时也会出现此错误。
您可以使用 requests.get('https://github.com', verify='/path/to/certfile') 信任您的 CA,或将其路径设置为 REQUESTS_CA_BUNDLE 环境变量。
参考:https://docs.python-requests.org/en/master/user/advanced/#ssl-cert-verification
尝试使用 Requests 会话发出简单的获取请求,但我不断收到特定站点的 SSLerror。我认为问题可能出在网站上(我使用 https://www.ssllabs.com 进行了扫描,结果如下所示),但我不能确定,因为我不了解这方面的知识 :) 我肯定想了解什么是继续。
一个solution/explanation就太好了, 谢谢!
代码:
import requests
requests.get('https://www.reporo.com/')
我遇到下一个错误:
SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
---------------------------------------------------------------------------
SSLError Traceback (most recent call last)
<ipython-input-7-cfc21b287fee> in <module>()
----> 1 requests.get('https://www.reporo.com/')
/usr/local/lib/python2.7/dist-packages/requests/api.pyc in get(url, **kwargs)
63
64 kwargs.setdefault('allow_redirects', True)
---> 65 return request('get', url, **kwargs)
66
67
/usr/local/lib/python2.7/dist-packages/requests/api.pyc in request(method, url, **kwargs)
47
48 session = sessions.Session()
---> 49 response = session.request(method=method, url=url, **kwargs)
50 # By explicitly closing the session, we avoid leaving sockets open which
51 # can trigger a ResourceWarning in some cases, and look like a memory leak
/usr/local/lib/python2.7/dist-packages/requests/sessions.pyc in request(self, method, url, params, data, headers, cookies, files, auth, timeout, allow_redirects, proxies, hooks, stream, verify, cert, json)
459 }
460 send_kwargs.update(settings)
--> 461 resp = self.send(prep, **send_kwargs)
462
463 return resp
/usr/local/lib/python2.7/dist-packages/requests/sessions.pyc in send(self, request, **kwargs)
571
572 # Send the request
--> 573 r = adapter.send(request, **kwargs)
574
575 # Total elapsed time of the request (approximately)
/usr/local/lib/python2.7/dist-packages/requests/adapters.pyc in send(self, request, stream, timeout, verify, cert, proxies)
429 except (_SSLError, _HTTPError) as e:
430 if isinstance(e, _SSLError):
--> 431 raise SSLError(e, request=request)
432 elif isinstance(e, ReadTimeoutError):
433 raise ReadTimeout(e, request=request)
SSLError: [Errno bad handshake] [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
我 运行 在 https://www.ssllabs.com 进行了扫描,得到了以下信息:
SSL Report: reporo.com
Assessed on: Sun Feb 22 21:42:57 PST 2015 | Clear cache Scan Another >>
Server Domain(s) Test time Grade
1 154.51.128.13
Certificate not valid for domain name
reporo.com
Sun Feb 22 21:40:53 PST 2015
Duration: 9.167 sec -
2 198.12.15.168
protected.ddosdefend.com
Ready
www.reporo.com
Sun Feb 22 21:41:02 PST 2015
Duration: 115.189 sec
F
www.reporo.com(不是 reporo.com)的证书本身有效,但它缺少链证书,如 ssllabs:
的报告所示Chain issues Incomplete
....
2 Extra download Thawte DV SSL CA
Fingerprint: 3ca958f3e7d6837e1c1acf8b0f6a2e6d487d6762
"Incomplete"和"Extra download"是重点。一些浏览器将缓存丢失的链证书,其他浏览器将进行下载,而其他浏览器将失败。如果您使用新的 Firefox 配置文件(没有缓存任何证书)尝试该站点,它也会失败。
您可以下载丢失的链证书并将其用作受信任的 CA 证书,并带有请求的 verify 参数。不要只是禁用验证,因为这样你就容易受到中间人攻击。
分步说明:
- 在 https://ssl-tools.net/certificates/vqgvhb-thawte-dv-ssl-ca (found by searching for the fingerprint given in the report from SSLLabs). Download the file in PEM format, i.e. https://ssl-tools.net/certificates/3ca958f3e7d6837e1c1acf8b0f6a2e6d487d6762.pem 下载丢失的证书。
- 在https://ssl-tools.net/certificates/91c6d6ee3e8ac86384e548c299295c756c817b81.pem下载根证书(也是通过搜索指纹找到的)
- 将两个文件合并到一个新文件中
chain.pem。确保每个文件确实以有效的行尾字符结尾(它们不是下载的)。生成的文件应该看起来 like this. 将您的呼叫修改为
requests.get('https://www.reporo.com/', verify = 'chain.pem')
您可以禁用证书验证:
requests.get('https://www.reporo.com/', verify=False)
但是没有证书验证就没有man-in-the-middle attack保护。
我有同样的错误。将请求从 requests-2.17.3 降级到 requests-2.11.0 为我解决了这个问题。
pip uninstall requests
pip install requests==2.11.0
运行 进入类似问题并通过以下方式修复:
pip install -U requests[security]
对于网站具有由浏览器确定的有效证书但服务器未提供完整证书链的情况,Steffen Ullrich 有最佳答案。
有时只是缺少根证书或中间证书,浏览器可以即时下载或验证丢失的证书,但使用请求模块,您将需要手动验证它。我使用 SSL labs 将完整的证书链确定为 .pem 文件。在感兴趣的网站输入url,等待测试完成。然后导航到并展开“认证路径”。可能有多个受信任路径(或 none,在这种情况下最终请求不会成功),在右侧您会看到一个下载链按钮。
将完整链复制为文本并将其另存为 .pem 文件。然后你在发起请求的时候把这个.pem文件的路径传给requests函数:
r = requests.get(url, verify= "path/to/chain.pem")
使用 MimT 时也会出现此错误。
您可以使用 requests.get('https://github.com', verify='/path/to/certfile') 信任您的 CA,或将其路径设置为 REQUESTS_CA_BUNDLE 环境变量。
参考:https://docs.python-requests.org/en/master/user/advanced/#ssl-cert-verification