在网络安全领域，HTTPS证书是保障数据传输安全的核心机制。但作为Python开发者，有时我们需要在爬虫或测试场景中临时绕过证书验证。将用大白话解释HTTPS证书的原理，并通过实际代码示例展示3种绕过方法及其潜在风险。

一、HTTPS证书为什么重要？（先懂原理再谈绕过）

想象你要给朋友寄一封机密信件，HTTPS证书就像邮局的“防伪印章”：

1. 身份认证：证明网站确实是“某银行官网”而非钓鱼网站（比如访问`https://www.bank.com`时，浏览器会检查证书是否由合法机构颁发）。

2. 加密传输：信件内容被锁进保险箱，只有收件人能打开（TLS/SSL加密）。

Python的`requests`库默认会验证证书。如果遇到证书过期、域名不匹配（如访问`192.168.1.1`但证书是给`example.com`的），就会报错：

```python

import requests

response = requests.get("https://expired.badssl.com")

模拟过期证书

抛出SSLError: certificate verify failed

```

二、3种绕过HTTPS验证的方法（附代码）

方法1：直接关闭验证（简单粗暴但危险）

requests.get("https://insecure-site.com", verify=False)

```

- 优点：一行代码解决问题。

- 缺点：相当于“寄信时不检查邮局印章”，可能遭遇：

- 中间人攻击（黑客伪装成目标网站窃取数据）

- 数据篡改（返回的内容被恶意修改）

方法2：自定义CA根证书（更安全的选择）

如果公司内网使用自签名证书，可指定自己的CA文件：

requests.get("https://internal-site.com", verify="/path/to/custom-ca.pem")

- 适用场景：企业内网、开发测试环境。

- 关键点：需确保`custom-ca.pem`绝对可信，且定期更新。

方法3：修改全局设置（影响范围大，慎用！）

import ssl

ssl._create_default_https_context = ssl._create_unverified_context

- 副作用：整个Python程序的HTTPS请求都不验证证书！

- 典型漏洞案例：某爬虫脚本全局关闭验证后，意外将用户密码发送到了假冒的API地址。

三、安全建议：绕过的正确姿势

1. 仅限测试环境使用：生产环境必须开启验证！

2. 限制作用域：用`with`语句局部禁用验证：

```python

with requests.Session() as s:

s.verify = False

s.get("https://temp-test-site.com")

仅这次请求不验证

```

3. 监控异常流量：若发现大量`verify=False`的请求，可能是攻击迹象。

四、延伸思考题

假设你正在爬取***公开数据（如`https://data.gov.sg`），但对方服务器使用了过期的TLS证书。你会选择哪种方案？欢迎在评论区讨论你的安全决策逻辑！

> 提示: 合法公开数据≠安全豁免权。即使数据本身非敏感，中间人仍可能注入恶意代码（如篡改下载链接）。

TAG:python https 证书,pythom证书,python如何编写证书代码,python 数字证书,python ssl证书