HTTPS证书是什么？

想象一下你要给朋友寄一封重要信件，HTTPS证书就像是信封上的火漆印章，确保信件在传递过程中没有被拆开或篡改。在互联网世界里，HTTPS证书(也叫SSL/TLS证书)就是网站的身份证明和加密工具，它告诉访问者："我是真正的某某网站，不是冒牌货"。

当你在浏览器地址栏看到小锁图标时，就表示当前连接使用了HTTPS并且证书有效。但作为开发者或安全人员，我们经常需要用程序自动验证这些证书是否可信。Python作为最流行的编程语言之一，提供了多种验证HTTPS证书的方法。

为什么需要验证HTTPS证书？

我见过一个真实的案例：某金融公司的自动化交易系统没有正确验证API服务器的证书，结果黑客搭建了一个假冒的API服务器实施中间人攻击(MITM)，导致数百万资金被转走。这就是典型的"信任所有证书"导致的灾难。

正确的做法是像银行柜员核对身份证一样严格检查每个连接的证书：

1. 确保证书是由受信任的机构颁发的

2. 确保证书没有过期

3. 确保证书中的域名与实际访问的域名匹配

4. 确保证书没有被吊销

Python验证HTTPS证书的基础方法

使用requests库

```python

import requests

基本请求会自动验证证书

response = requests.get('https://example.com')

手动关闭验证(危险！仅用于测试)

response = requests.get('https://example.com', verify=False)

指定自定义CA包路径

response = requests.get('https://example.com', verify='/path/to/cert.pem')

```

大多数情况下使用requests就足够了，它会自动使用系统信任的根证书库。但在某些特殊环境(如企业内网使用私有CA)，可能需要指定自定义CA包。

使用urllib3底层控制

import urllib3

创建自定义连接池

http = urllib3.PoolManager(

cert_reqs='CERT_REQUIRED',

强制要求校验证书

ca_certs='/path/to/cert.pem'

CA包路径

)

response = http.request('GET', 'https://example.com')

urllib3提供了更细粒度的控制选项，适合需要定制化的场景。

Python进阶：深度检查证书细节

有时我们需要获取并分析完整的证书信息：

import ssl

import socket

from datetime import datetime

def check_cert(hostname, port=443):

context = ssl.create_default_context()

conn = context.wrap_socket(

socket.socket(socket.AF_INET),

server_hostname=hostname,

)

try:

conn.connect((hostname, port))

cert = conn.getpeercert()

解析有效期

not_before = datetime.strptime(cert['notBefore'], '%b %d %H:%M:%S %Y %Z')

not_after = datetime.strptime(cert['notAfter'], '%b %d %H:%M:%S %Y %Z')

print(f"颁发给: {cert['subject'][0][0][1]}")

print(f"颁发者: {cert['issuer'][0][0][1]}")

print(f"有效期: {not_before} ~ {not_after}")

OCSP检查(吊销状态)

if 'OCSP' in cert:

print("支持OCSP吊销检查")

finally:

conn.close()

check_cert("www.baidu.com")

这个脚本会输出类似这样的信息：

颁发给: www.baidu.com

颁发者: GlobalSign Organization Validation CA - SHA256 - G2

有效期: 2025-01-01 00:00:00 ~ 2025-01-01 23:59:59

支持OCSP吊销检查

Python实战：自签名证书的特殊处理

在企业内网环境中经常遇到自签名证书的情况。这时我们有几种选择：

方案1：将自签名CA添加到信任库

Linux/Mac通常在这个位置：

response = requests.get('https://internal-site', verify='/etc/ssl/certs/ca-certificates.crt')

Windows可以导出CA后指定路径：

response = requests.get('https://internal-site', verify='C:\\certs\\company-ca.crt')

方案2：创建自定义适配器(更灵活)

from requests.adapters import HTTPAdapter

from urllib3.util.ssl_ import create_urllib3_context

class CustomAdapter(HTTPAdapter):

def init_poolmanager(self, *args, **kwargs):

context = create_urllib3_context()

context.load_verify_locations(cafile='company-ca.crt')

kwargs['ssl_context'] = context

return super().init_poolmanager(*args, **kwargs)

s = requests.Session()

s.mount('https://internal-site', CustomAdapter())

response = s.get('https://internal-site/api/data')

Python安全最佳实践

1. 永远不要禁用验证

`verify=False`是安全大忌！就像不检查身份证就让陌生人进入金库。

2. 定期更新CA根证书

就像你的杀毒软件需要更新病毒库一样，根CA列表也需要更新：

```bash

Ubuntu/Debian系统更新命令示例：

sudo update-ca-certificates --fresh

```

3. 实现双重校验

除了标准验证外，可以额外检查关键字段：

```python

def validate_cert(cert):

assert 'www.example.com' in cert['subjectAltName'][0][1], "域名不匹配"

assert cert['issuer'][0][0][1] == "DigiCert", "非预期颁发机构"

assert datetime.now() < cert_expiry, "证书已过期"

4. 监控和告警

对关键服务的SSL/TLS状态进行监控：

def check_expiry(url, warning_days=30):

cert = ssl.get_server_certificate((url,443))

x509 = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM,cert)

expiry_date = x509.get_notAfter().decode('utf-8')

remaining_days =(datetime.strptime(expiry_date,'%Y%m%d%H%M%SZ') - datetime.now()).days

if remaining_days < warning_days:

send_alert(f"{url} SSL将在{remaining_days}天后过期！")

HTTPS未来发展趋势与Python支持

随着网络安全威胁升级，HTTPS技术也在不断演进：

1. TLS1.3全面普及

Python从3.7开始默认启用TLS1.2/1.3支持。建议显式配置最高版本：

import ssl

context.minimum_version.TLSVersion.TLSv1_2

TLSv1_3 for newer systems

2. 自动化ACME协议(LetsEncrypt)

可以使用`certbot`或Python库自动管理免费SSL证书记录：

from acme import client, messages

acme_client.ClientV2(network=network.JOSENetwork(key))

3. Certificate Transparency Log监控

谷歌主导的项目帮助检测恶意签发行为：可以使用`ct-python`等库查询特定域名的所有公开签发记录。

FAQ常见问题解答

Q：为什么我的Python脚本在内网报SSL错误？

A：大概率是因为使用了自签名或私有CA签发的证书记录。解决方案见上文"自签名证书记录处理"部分。

Q：如何为爬虫程序处理大量域名的SSL证书记录？

A：建议创建共享Session并设置合理超时时间避免性能问题：

```python

session.mount('https://', HTTPAdapter(

max_retries=Retry(total=5),

pool_maxsize=100,

pool_block=True,

ssl_version=ssl.PROTOCOL_TLS_CLIENT,

))

Q：Python不同版本间有什么差异？

A：关键变化点包括：

- Python2.x默认不校验证书记录！

- Python<3.4不支持SNI扩展（会导致虚拟主机记录错误）

- Python<3.7默认允许不安全的TLS协议版本（如SSLv23）

建议始终使用最新稳定版Python开发网络应用。

TAG:python验证https证书的过程,python验证码校验程序,python certification,python网络验证系统