HTTPS를 통해 회사 인트라넷의 여러 사이트에 연결하고 SSL 인증서가 유효한지 확인하는 스크립트를 작성해야합니다. 만료되지 않았는지, 올바른 주소로 발급되었는지 등. 이러한 사이트에 대해 자체 내부 기업 인증 기관을 사용하므로 인증서를 확인할 CA의 공개 키가 있습니다.
Python은 기본적으로 HTTPS를 사용할 때 SSL 인증서를 수락하고 사용하므로 인증서가 유효하지 않더라도 urllib2 및 Twisted와 같은 Python 라이브러리는 인증서를 기꺼이 사용합니다.
HTTPS를 통해 사이트에 연결하고 이러한 방식으로 인증서를 확인할 수있는 좋은 라이브러리가 있습니까?
Python에서 인증서를 어떻게 확인합니까?
treq이상 을 사용하는 경우 twisted.web.client.AgentTwisted는 기본적으로 인증서를 확인합니다.
답변:
릴리스 버전 2.7.9 / 3.4.3부터 Python 은 기본적으로 인증서 유효성 검사를 수행합니다.
이것은 읽을만한 가치가있는 PEP 467에서 제안되었습니다 : https://www.python.org/dev/peps/pep-0476/
변경 사항은 모든 관련 stdlib 모듈 (urllib / urllib2, http, httplib)에 영향을줍니다.
관련 문서 :
https://docs.python.org/2/library/httplib.html#httplib.HTTPSConnection
이 클래스는 이제 기본적으로 필요한 모든 인증서 및 호스트 이름 검사를 수행합니다. 확인되지 않은 이전 동작으로 되돌리려면 ssl._create_unverified_context ()를 context 매개 변수에 전달할 수 있습니다.
https://docs.python.org/3/library/http.client.html#http.client.HTTPSConnection
버전 3.4.3에서 변경 :이 클래스는 이제 기본적으로 필요한 모든 인증서 및 호스트 이름 검사를 수행합니다. 확인되지 않은 이전 동작으로 되돌리려면 ssl._create_unverified_context ()를 context 매개 변수에 전달할 수 있습니다.
새로운 기본 제공 확인은 시스템에서 제공하는 인증서 데이터베이스를 기반으로 합니다. 반대로 요청 패키지는 자체 인증서 번들을 제공합니다. 두 접근 방식의 장단점 은 PEP 476 의 신뢰 데이터베이스 섹션 에서 설명합니다 .
match_hostname()Python 3.2 ssl패키지 의 함수를 이전 버전의 Python에서 사용할 수 있도록 Python Package Index에 배포를 추가했습니다 .
http://pypi.python.org/pypi/backports.ssl_match_hostname/
다음과 같이 설치할 수 있습니다.
pip install backports.ssl_match_hostname
또는 프로젝트의 setup.py. 어느 쪽이든 다음과 같이 사용할 수 있습니다.
from backports.ssl_match_hostname import match_hostname, CertificateError
...
sslsock = ssl.wrap_socket(sock, ssl_version=ssl.PROTOCOL_SSLv3,
cert_reqs=ssl.CERT_REQUIRED, ca_certs=...)
try:
match_hostname(sslsock.getpeercert(), hostname)
except CertificateError, ce:
...
getpeercert()하고 출력을 match_hostname().
Twisted를 사용하여 인증서를 확인할 수 있습니다. 주요 API는 CertificateOptions 이며 listenSSL 및 startTLScontextFactory 와 같은 다양한 함수에 대한 인수로 제공 될 수 있습니다 .
불행히도 Python이나 Twisted는 실제로 HTTPS 유효성 검사를 수행하는 데 필요한 CA 인증서 더미와 HTTPS 유효성 검사 논리를 제공하지 않습니다. PyOpenSSL의 제한 으로 인해 아직 완전히 올바르게 수행 할 수는 없지만 거의 모든 인증서에 주제 commonName이 포함되어 있기 때문에 충분히 가까워 질 수 있습니다.
다음은 와일드 카드 및 subjectAltName 확장을 무시하고 대부분의 Ubuntu 배포판에서 'ca-certificates'패키지에있는 인증 기관 인증서를 사용하는 검증 Twisted HTTPS 클라이언트의 순진한 샘플 구현입니다. 좋아하는 유효하고 유효하지 않은 인증서 사이트에서 시도해보십시오. :).
import os
import glob
from OpenSSL.SSL import Context, TLSv1_METHOD, VERIFY_PEER, VERIFY_FAIL_IF_NO_PEER_CERT, OP_NO_SSLv2
from OpenSSL.crypto import load_certificate, FILETYPE_PEM
from twisted.python.urlpath import URLPath
from twisted.internet.ssl import ContextFactory
from twisted.internet import reactor
from twisted.web.client import getPage
certificateAuthorityMap = {}
for certFileName in glob.glob("/etc/ssl/certs/*.pem"):
# There might be some dead symlinks in there, so let's make sure it's real.
if os.path.exists(certFileName):
data = open(certFileName).read()
x509 = load_certificate(FILETYPE_PEM, data)
digest = x509.digest('sha1')
# Now, de-duplicate in case the same cert has multiple names.
certificateAuthorityMap[digest] = x509
class HTTPSVerifyingContextFactory(ContextFactory):
def __init__(self, hostname):
self.hostname = hostname
isClient = True
def getContext(self):
ctx = Context(TLSv1_METHOD)
store = ctx.get_cert_store()
for value in certificateAuthorityMap.values():
store.add_cert(value)
ctx.set_verify(VERIFY_PEER | VERIFY_FAIL_IF_NO_PEER_CERT, self.verifyHostname)
ctx.set_options(OP_NO_SSLv2)
return ctx
def verifyHostname(self, connection, x509, errno, depth, preverifyOK):
if preverifyOK:
if self.hostname != x509.get_subject().commonName:
return False
return preverifyOK
def secureGet(url):
return getPage(url, HTTPSVerifyingContextFactory(URLPath.fromString(url).netloc))
def done(result):
print 'Done!', len(result)
secureGet("https://google.com/").addCallback(done)
reactor.run()
URLPath(url).netloc: 이는 secureGet에 전달 된 URL의 호스트 부분을 의미합니다. 즉, 주체의 commonName이 호출자가 요청한 것과 동일한 지 확인하는 것입니다.
https://www.google.com/. 제목 중 하나가 'www.google.com'이기 때문에 거부 하기 시작 하여 함수가 False를 반환합니다. 이름이 일치하면 True (허용됨)를 반환하고 일치하지 않으면 False를 반환한다는 의미 일 수 있습니다.
PycURL 은 이것을 아름답게합니다.
다음은 간단한 예입니다. 그것은 발생합니다 pycurl.error뭔가 비린내 경우 오류 코드와 인간이 읽을 수있는 메시지가있는 튜플을 얻을 경우.
import pycurl
curl = pycurl.Curl()
curl.setopt(pycurl.CAINFO, "myFineCA.crt")
curl.setopt(pycurl.SSL_VERIFYPEER, 1)
curl.setopt(pycurl.SSL_VERIFYHOST, 2)
curl.setopt(pycurl.URL, "https://internal.stuff/")
curl.perform()
결과를 저장할 위치 등과 같은 더 많은 옵션을 구성하고 싶을 것입니다. 그러나 필수가 아닌 것으로 예제를 복잡하게 만들 필요는 없습니다.
발생할 수있는 예외의 예 :
(60, 'Peer certificate cannot be authenticated with known CA certificates')
(51, "common name 'CN=something.else.stuff,O=Example Corp,C=SE' does not match 'internal.stuff'")
내가 유용하다고 생각한 일부 링크는 setopt 및 getinfo에 대한 libcurl-docs입니다.
또는 요청 라이브러리 를 사용하여 삶을 더 쉽게 만드십시오 .
import requests
requests.get('https://somesite.com', cert='/path/server.crt', verify=True)
cert인수는 클라이언트 측 인증서,하지에 대해 확인하는 서버 인증서입니다. verify인수 를 사용하고 싶습니다 .
verify더 명시 적이거나 검증을 비활성화하는 것을 제외하고 는 인수 를 사용할 필요가 없습니다 .
다음은 인증서 유효성 검사를 보여주는 예제 스크립트입니다.
import httplib
import re
import socket
import sys
import urllib2
import ssl
class InvalidCertificateException(httplib.HTTPException, urllib2.URLError):
def __init__(self, host, cert, reason):
httplib.HTTPException.__init__(self)
self.host = host
self.cert = cert
self.reason = reason
def __str__(self):
return ('Host %s returned an invalid certificate (%s) %s\n' %
(self.host, self.reason, self.cert))
class CertValidatingHTTPSConnection(httplib.HTTPConnection):
default_port = httplib.HTTPS_PORT
def __init__(self, host, port=None, key_file=None, cert_file=None,
ca_certs=None, strict=None, **kwargs):
httplib.HTTPConnection.__init__(self, host, port, strict, **kwargs)
self.key_file = key_file
self.cert_file = cert_file
self.ca_certs = ca_certs
if self.ca_certs:
self.cert_reqs = ssl.CERT_REQUIRED
else:
self.cert_reqs = ssl.CERT_NONE
def _GetValidHostsForCert(self, cert):
if 'subjectAltName' in cert:
return [x[1] for x in cert['subjectAltName']
if x[0].lower() == 'dns']
else:
return [x[0][1] for x in cert['subject']
if x[0][0].lower() == 'commonname']
def _ValidateCertificateHostname(self, cert, hostname):
hosts = self._GetValidHostsForCert(cert)
for host in hosts:
host_re = host.replace('.', '\.').replace('*', '[^.]*')
if re.search('^%s$' % (host_re,), hostname, re.I):
return True
return False
def connect(self):
sock = socket.create_connection((self.host, self.port))
self.sock = ssl.wrap_socket(sock, keyfile=self.key_file,
certfile=self.cert_file,
cert_reqs=self.cert_reqs,
ca_certs=self.ca_certs)
if self.cert_reqs & ssl.CERT_REQUIRED:
cert = self.sock.getpeercert()
hostname = self.host.split(':', 0)[0]
if not self._ValidateCertificateHostname(cert, hostname):
raise InvalidCertificateException(hostname, cert,
'hostname mismatch')
class VerifiedHTTPSHandler(urllib2.HTTPSHandler):
def __init__(self, **kwargs):
urllib2.AbstractHTTPHandler.__init__(self)
self._connection_args = kwargs
def https_open(self, req):
def http_class_wrapper(host, **kwargs):
full_kwargs = dict(self._connection_args)
full_kwargs.update(kwargs)
return CertValidatingHTTPSConnection(host, **full_kwargs)
try:
return self.do_open(http_class_wrapper, req)
except urllib2.URLError, e:
if type(e.reason) == ssl.SSLError and e.reason.args[0] == 1:
raise InvalidCertificateException(req.host, '',
e.reason.args[1])
raise
https_request = urllib2.HTTPSHandler.do_request_
if __name__ == "__main__":
if len(sys.argv) != 3:
print "usage: python %s CA_CERT URL" % sys.argv[0]
exit(2)
handler = VerifiedHTTPSHandler(ca_certs = sys.argv[1])
opener = urllib2.build_opener(handler)
print opener.open(sys.argv[2]).read()
M2Crypto 는 유효성 검사를 할 수 있습니다 . 원하는 경우 Twisted와 함께 M2Crypto를 사용할 수도 있습니다 . Chandler 데스크톱 클라이언트 는 인증서 유효성 검사를 포함하여 네트워킹에 Twisted를 사용하고 SSL에 M2Crypto를 사용합니다 .
Glyphs 주석에 따르면 M2Crypto는 subjectAltName 필드도 확인하기 때문에 M2Crypto가 현재 pyOpenSSL로 할 수있는 것보다 기본적으로 더 나은 인증서 확인을 수행하는 것처럼 보입니다.
또한 Mozilla Firefox가 Python에서 제공하고 Python SSL 솔루션과 함께 사용할 수있는 인증서 를 얻는 방법에 대해 블로그를 작성했습니다 .
Jython은 기본적으로 인증서 확인을 수행하므로 jython과 함께 httplib.HTTPSConnection 등의 표준 라이브러리 모듈을 사용하면 인증서를 확인하고 실패에 대한 예외 (예 : 일치하지 않는 ID, 만료 된 인증서 등)를 제공합니다.
사실, jython이 cpython처럼 작동하도록하려면, 즉 jython이 인증서를 확인하지 않도록하려면 추가 작업을 수행해야합니다.
테스트 단계 등에서 유용 할 수 있기 때문에 자이 썬에서 인증서 검사를 비활성화하는 방법에 대한 블로그 게시물을 작성했습니다.
Java 및 jython에 모든 신뢰 보안 공급자를 설치합니다.
http://jython.xhaus.com/installing-an-all-trusting-security-provider-on-java-and-jython/
다음 코드를 사용하면 모든 SSL 유효성 검사 (예 : 날짜 유효성, CA 인증서 체인 ...)의 이점을 누릴 수 있습니다 (예 : 호스트 이름 확인 또는 기타 추가 인증서 확인 단계 수행).
from httplib import HTTPSConnection
import ssl
def create_custom_HTTPSConnection(host):
def verify_cert(cert, host):
# Write your code here
# You can certainly base yourself on ssl.match_hostname
# Raise ssl.CertificateError if verification fails
print 'Host:', host
print 'Peer cert:', cert
class CustomHTTPSConnection(HTTPSConnection, object):
def connect(self):
super(CustomHTTPSConnection, self).connect()
cert = self.sock.getpeercert()
verify_cert(cert, host)
context = ssl.create_default_context()
context.check_hostname = False
return CustomHTTPSConnection(host=host, context=context)
if __name__ == '__main__':
# try expired.badssl.com or self-signed.badssl.com !
conn = create_custom_HTTPSConnection('badssl.com')
conn.request('GET', '/')
conn.getresponse().read()
나는 같은 문제가 있었지만 타사 종속성을 최소화하고 싶었습니다 (이 일회용 스크립트는 많은 사용자가 실행하기 때문입니다). 내 해결책은 curl호출 을 래핑 하고 종료 코드가 0. 매력처럼 작동했습니다.