当 HTTPS 站点使用“ISRG Root X1”的 CA 时，Python3.4+requests 2.26 无法验证 SSL 证书 - 为啥？

Posted 2023-02-25

【中文标题】当 HTTPS 站点使用“ISRG Root X1”的 CA 时，Python3.4+requests 2.26 无法验证 SSL 证书 - 为啥？

【英文标题】：Python3.4+requests 2.26 can't verify SSL certificat when the HTTPS site use CA of "ISRG Root X1" - why?当 HTTPS 站点使用“ISRG Root X1”的 CA 时，Python3.4+requests 2.26 无法验证 SSL 证书 - 为什么？

【发布时间】：2022-01-21 17:58:56

【问题描述】：

我的环境是： windows 10、Python 3.4.3、请求 2.26.0

代码是这样的：

requests.get("https://example.com/")

example.com 的 SSL 证书的 CA 不是 ISRG root X1 (letsencrypt) 时，上述调用是可以的。 （例如：https://www.baidu.com/只是普通证书） 但是，当example.com的证书CA是“ISRG root X1”时，会出现以下错误： （例如：https://www.farmersworld.io 它的证书是由letsencrypt 颁发的）

我检查了 certifi.where() 和 cacert.pem 文件，其中我看到了上面的 CA 内容，换句话说，我确实在 cacert.pem 中看到了 ISRG 的 CA 证书内容。所以我很困惑为什么会这样。普通网站的 CA 和 Letsencrypt 网站的 CA 都在 cacert.pem 文件中，为什么它们有不同的行为？另外，当我从cacert.pem中删除正常网站的CA时，正常网站将无法通过HTTPS访问，这证明cacert.pem确实被请求库使用。

Traceback (most recent call last):
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 706, in urlopen
    chunked=chunked,
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 382, in _make_request
    self._validate_conn(conn)
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 1010, in _validate_conn
    conn.connect()
  File "C:\Python34\lib\site-packages\urllib3\connection.py", line 426, in connect
    tls_in_tls=tls_in_tls,
  File "C:\Python34\lib\site-packages\urllib3\util\ssl_.py", line 450, in ssl_wrap_socket
    sock, context, tls_in_tls, server_hostname=server_hostname
  File "C:\Python34\lib\site-packages\urllib3\util\ssl_.py", line 493, in _ssl_wrap_socket_impl
    return ssl_context.wrap_socket(sock, server_hostname=server_hostname)
  File "C:\Python34\lib\ssl.py", line 365, in wrap_socket
    _context=self)
  File "C:\Python34\lib\ssl.py", line 583, in __init__
    self.do_handshake()
  File "C:\Python34\lib\ssl.py", line 810, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "C:\Python34\lib\site-packages\requests\adapters.py", line 449, in send
    timeout=timeout
  File "C:\Python34\lib\site-packages\urllib3\connectionpool.py", line 756, in urlopen
    method, url, error=e, _pool=self, _stacktrace=sys.exc_info()[2]
  File "C:\Python34\lib\site-packages\urllib3\util\retry.py", line 574, in increment
    raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='farmersworld.io', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'),))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "C:\Python34\lib\site-packages\requests\api.py", line 75, in get
    return request('get', url, params=params, **kwargs)
  File "C:\Python34\lib\site-packages\requests\api.py", line 61, in request
    return session.request(method=method, url=url, **kwargs)
  File "C:\Python34\lib\site-packages\requests\sessions.py", line 542, in request
    resp = self.send(prep, **send_kwargs)
  File "C:\Python34\lib\site-packages\requests\sessions.py", line 655, in send
    r = adapter.send(request, **kwargs)
  File "C:\Python34\lib\site-packages\requests\adapters.py", line 514, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='farmersworld.io', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'),))```

【参考方案1】：

除此之外：你的文字是www.farmersworld.io，但你的堆栈跟踪是farmerworld.io；这些是不同的站点，具有不同的证书，但都来自具有兼容性链的 LE，因此都存在相同的问题。

重要的不是 Python，而是 Python 3.4.3 可以追溯到 2015 年，当时 OpenSSL 1.0.2 是最新的，而 OpenSSL 1.0.2 在尝试验证 LE 默认使用的链（从 ISRG 自己的根到过期的 DST X3 根以支持旧的 android 版本）当新的 ISRG 根和旧的/过时的 DST 根都在信任库中时错误地失败。

是的，python 请求默认使用 certifi 提供的 cacert 文件。我不清楚 Mozilla 是否真的删除了过时的证书。 curl.se 这么认为，但是certifi doesn't seem to.

您可以从 cacert 文件中手动删除 DST X3，尽管修改包管理的文件通常不是一个好主意；更干净，您可以复制并从中删除并设置 envvar REQUESTS_CA_BUNDLE 和/或修改您的代码以使用该副本。或者，您可以使用使用 OpenSSL 1.1.0 up 构建的 python，我希望从 2017 年开始应该这样做。或者，如果您对服务器有影响（或控制），让他们配置 LE（例如通过 certbot）以使用“仅限 ISRG”链。

官方解释见https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/和https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/。

【讨论】：

我删除了“DST Root CA X3”CA，python控制台显示同样的错误。

certifi.__version__ 是 2021.10.08

我使用了 mozilla 的 cacert.pem。它没有解决问题。可能只通过修改cacert.pem是不可能解决这个问题的。