Python 的默认 SSL 证书上下文在代理后面时在请求方法中不起作用,否则工作正常

Python's default SSL certificate context not working in requests method when behind proxy, works fine otherwise

我的代码中有以下功能,当我不在任何代理后面时,它工作得很好。事实上,甚至没有提到 certifi default CA certificate,如果我通过 verify=TRUE,它工作正常,我猜,因为它以相同的方式工作。

def reverse_lookup(lat, long):
    cafile=certifi.where()
    params={'lat' : float(lat), 'lon' : float(long), 'format' : 'json',
            'accept-language' : 'en', 'addressdetails' : 1}
    response = requests.get("https://nominatim.openstreetmap.org/reverse", params=params, verify=cafile)
    #response = requests.get("https://nominatim.openstreetmap.org/reverse", params=params, verify=True) <-- this works as well
    result = json.loads(response.text)
    return result['address']['country'], result['address']['state'], result['address']['city']

当我 运行 从我的企业基础架构(我在代理后面)中使用相同的代码时,我对代码进行了一些小的更改,将代理作为 requests 方法中的参数: 

def reverse_lookup(lat, long):
    cafile=certifi.where()
    proxies = {"https" : "https://myproxy.com"}
    params={'lat' : float(lat), 'lon' : float(long), 'format' : 'json',
            'accept-language' : 'en', 'addressdetails' : 1}
    response = requests.get("https://nominatim.openstreetmap.org/reverse", params=params, verify=cafile, proxies=proxies)
    result = json.loads(response.text)
    return result['address']['country'], result['address']['state'], result['address']['city']

但如果我设置 verify=Trueverify=certifi.where():

,它会在不同时间给出这 3 个 SSL 错误中的一个
  1. CERTIFICATE_VERIFY_FAILED
  2. UNKNOWN_PROTOCOL
  3. WRONG_VERSION_NUMBER

只有当我使用 verify=False

完全绕过 SSL 验证时它才起作用

我的问题是:

  1. 由于我通过代理发送 https 请求,我可以绕过 SSL 验证吗?
  2. 在这种情况下,当我在代理后面时,如何使 SSL 验证的默认上下文起作用?

感谢任何帮助。在 Python 2.7.15 和 3.9

中测试的代码

Since I'm sending the https request via proxy, is it ok if I bypass SSL verification ?

您是否需要 HTTPS 提供的保护,即应用程序数据加密(如密码,还有完整 URL)以防止中间的恶意人员嗅探或修改?如果您不需要保护,那么您可以绕过证书验证。

How to make the default context of SSL verification work in this case, when I'm behind proxy ?

代理正在执行 SSL 拦截,并在执行此操作时根据内部 CA 为该站点颁发新证书。如果这是预期的(即不是攻击),那么您需要从 verify='proxy-ca.pem' 信任的代理导入 CA。您的 IT 部门应该能够为您提供代理 CA。

But it gives me one out of these 3 SSL errors at different times, if I set verify=True or verify=certifi.where():

CERTIFICATE_VERIFY_FAILED
UNKNOWN_PROTOCOL
WRONG_VERSION_NUMBER

它应该只会给你CERTIFICATE_VERIFY_FAILED。其他两个错误表示错误的代理设置,通常将 https_proxy 设置为 https://... 而不是 http://... (也可以在您的代码中看到)。