在网络安全领域，HTTPS证书是保障数据传输安全的重要机制。但某些情况下，开发者可能需要用Python代码临时忽略HTTPS证书验证（例如测试环境或内部系统）。这种做法存在严重安全隐患。本文将通过实际案例，解析忽略证书的原理、风险场景，并提供更安全的替代方案。

一、为什么Python会提示HTTPS证书警告？

当Python的`requests`库或其他HTTP客户端访问一个HTTPS网站时，会默认验证服务器的SSL/TLS证书是否有效。如果遇到以下情况，就会抛出`SSLError`或警告：

1. 证书过期：比如网站证书已经过了有效期。

2. 域名不匹配：证书是为`example.com`颁发的，但实际访问的是`test.example.com`。

3. 自签名证书：内部测试环境常用的自签证书未被权威机构（如Let's Encrypt）认可。

示例代码触发警告：

```python

import requests

response = requests.get("https://expired.badssl.com")

这是一个故意配置过期证书的测试网站

```

运行后会报错：

`requests.exceptions.SSLError: SSL certificate verification failed`

二、如何“忽略”HTTPS证书验证？（附风险说明）

虽然可以通过以下方式绕过验证，但必须明确其风险：

方法1：全局禁用验证（极度危险！）

import urllib3

urllib3.disable_warnings()

关闭所有SSL警告

response = requests.get("https://expired.badssl.com", verify=False)

跳过验证

?? 风险：此时可能连接到假冒的钓鱼网站，所有传输的数据（如密码、Token）会被中间人窃取。

方法2：仅信任特定自签名证书（相对安全）

如果是因为内部系统使用自签证书，可将证书文件（`.pem`或`.crt`）传递给`verify`参数：

response = requests.get("https://internal-server.com", verify="/path/to/certificate.pem")

三、真实攻击案例：忽略SSL的后果

2025年某金融公司开发人员在测试脚本中使用了`verify=False`，但该脚本被误部署到生产环境。攻击者利用局域网ARP欺骗伪装成API服务器：

- 结果：用户的银行卡号通过“加密”连接传输到了攻击者的服务器。

- 原因：由于未验证证书，客户端无法识别服务器真假。

四、安全的替代方案

场景1：开发/测试环境

- 推荐工具：[mkcert](https://github.com/FiloSottile/mkcert)快速生成本地可信的自签证书。

- Python配置示例：

```python

response = requests.get("https://localhost", verify="/path/to/mkcert-generated-cert.pem")

```

场景2：生产环境必须跳过验证时（罕见）

- 限制范围：仅针对特定域名禁用验证（而非全局）：

import ssl

custom_ctx = ssl.create_default_context()

custom_ctx.check_hostname = False

custom_ctx.verify_mode = ssl.CERT_NONE

仅对trusted-domains.com跳过验证

if "trusted-domains.com" in url:

response = requests.get(url, verify=custom_ctx)

else:

response = requests.get(url)

其他域名严格校验

五、关键点

| 行为 | 安全等级 | 适用场景 |

||-||

| `verify=False` | ?高危 | 绝对避免在生产环境使用 |

| `verify=cert_file路径` | ?中等 | 内部系统或开发测试 |

| `mkcert+严格校验` | ?最佳实践 | 所有需要加密通信的环境 |

> ?? 核心建议：即使测试时临时忽略证书，也务必在代码中添加明显注释和TODO标记，防止误发布。

TAG:python忽略https证书,python跳过验证码,python忽略错误继续执行,python忽略警告信息,python忽略ssl