Validieren Sie SSL-Zertifikate mit Python

Muss ich ein Skript schreiben, das eine Verbindung zu einer Reihe von Websites, die auf unserer Unternehmens-intranet über HTTPS und stellt sicher, dass Ihre SSL-Zertifikate gültig sind; dass Sie noch nicht abgelaufen sind, dass Sie ausgegeben werden für Sie die richtige Adresse, etc. Wir nutzen unsere eigenen internen Unternehmens-Zertifizierungsstelle für diese Seiten, so haben wir den öffentlichen Schlüssel der ZERTIFIZIERUNGSSTELLE zum verifizieren der Zertifikate vor.

Python standardmäßig nur akzeptiert und verwendet SSL-Zertifikate bei der Verwendung von HTTPS, also auch, wenn ein Zertifikat ungültig ist, Python-Bibliotheken wie urllib2 und Verdreht wird nur glücklich, das das Zertifikat verwenden.

gibt es eine gute Bibliothek irgendwo, lassen Sie mich eine Verbindung zu einer Website über HTTPS, und überprüfen Sie das Zertifikat auf diese Weise?

Wie überprüfe ich ein Zertifikat in Python?

InformationsquelleAutor der Frage Eli Courtwright | 2009-07-06

  1. 12

    Aus der release-version 2.7.9/3.4.3, Python standardmäßig durchzuführen versucht Zertifikat Validierung.

    Dieser hat vorgeschlagen, im PEP-467, das ist Wert, gelesen zu werden: https://www.python.org/dev/peps/pep-0476/

    Wirken sich die änderungen auf alle relevanten stdlib Module (das urllib/urllib2, http, httplib).

    Relevanten Dokumentationen:

    https://docs.python.org/2/library/httplib.html#httplib.HTTPSConnection

    Diese Klasse führt nun alle notwendigen Zertifikat und hostname überprüft standardmäßig. Um wieder den vorherigen, nicht überprüft, Verhalten von ssl._create_unverified_context() übergeben werden kann, um die context-parameter.

    https://docs.python.org/3/library/http.client.html#http.client.HTTPSConnection

    Änderungen in version 3.4.3: Diese Klasse führt nun alle notwendigen Zertifikat und hostname überprüft standardmäßig. Um wieder den vorherigen, nicht überprüft, Verhalten von ssl._create_unverified_context() übergeben werden kann, um die context-parameter.

    Beachten Sie, dass die neue integrierte Prüfung auf Basis der system bereitgestellten Zertifikat-Datenbank. Im Gegensatz zu diesem, der Anfragen Paket liefert sein eigenes Zertifikat zu bündeln. Vor-und Nachteile der beiden Ansätze diskutiert werden, die Trust-Datenbank - Abschnitt der PEP 476.

    InformationsquelleAutor der Antwort Jan-Philip Gehrcke

  2. 29

    Habe ich zusätzlich eine Verteilung auf die Python-Package-Index, die macht der match_hostname() - Funktion aus Python 3.2 ssl - Paket, das von früheren Versionen von Python.

    http://pypi.python.org/pypi/backports.ssl_match_hostname/

    Können Sie es installieren mit:

    pip install backports.ssl_match_hostname

    Oder machen Sie es sich zu einer Abhängigkeit, die aufgeführt sind in Ihr Projekt setup.py. So oder so, es kann z.B. so verwendet werden:

    from backports.ssl_match_hostname import match_hostname, CertificateError
...
sslsock = ssl.wrap_socket(sock, ssl_version=ssl.PROTOCOL_SSLv3,
                      cert_reqs=ssl.CERT_REQUIRED, ca_certs=...)
try:
    match_hostname(sslsock.getpeercert(), hostname)
except CertificateError, ce:
    ...

    InformationsquelleAutor der Antwort Brandon Rhodes

  3. 26

    Können Sie Verdreht, um Zertifikate überprüfen. Die wichtigsten API ist CertificateOptionsdie bereitgestellt werden können als die contextFactory argument zu diversen Funktionen, wie listenSSL und startTLS.

    Leider weder Python noch Twisted-kommt mit einem Haufen von CA-Zertifikate benötigt, um tatsächlich tun, HTTPS-überprüfung, noch die HTTPS-überprüfung der Logik. Aufgrund eine Einschränkung in PyOpenSSLman kann es nicht ganz korrekt gerade noch, aber Dank der Tatsache, dass fast alle Zertifikate beinhalten ein Thema, commonName, können Sie nahe genug kommen.

    Hier ist ein naives Beispiel-Implementierung einer überprüfung Twisted HTTPS-client ignoriert wildcards und die subjectAltName-Erweiterungen, und verwendet die certificate-authority-Zertifikate präsentieren in der "ca-Zertifikate" - Paket in den meisten Ubuntu-Distributionen. Versuchen Sie es mit Ihrem Lieblings-gültige und ungültige Zertifikat-sites :).

    import os
import glob
from OpenSSL.SSL import Context, TLSv1_METHOD, VERIFY_PEER, VERIFY_FAIL_IF_NO_PEER_CERT, OP_NO_SSLv2
from OpenSSL.crypto import load_certificate, FILETYPE_PEM
from twisted.python.urlpath import URLPath
from twisted.internet.ssl import ContextFactory
from twisted.internet import reactor
from twisted.web.client import getPage
certificateAuthorityMap = {}
for certFileName in glob.glob("/etc/ssl/certs/*.pem"):
    # There might be some dead symlinks in there, so let's make sure it's real.
    if os.path.exists(certFileName):
        data = open(certFileName).read()
        x509 = load_certificate(FILETYPE_PEM, data)
        digest = x509.digest('sha1')
        # Now, de-duplicate in case the same cert has multiple names.
        certificateAuthorityMap[digest] = x509
class HTTPSVerifyingContextFactory(ContextFactory):
    def __init__(self, hostname):
        self.hostname = hostname
    isClient = True
    def getContext(self):
        ctx = Context(TLSv1_METHOD)
        store = ctx.get_cert_store()
        for value in certificateAuthorityMap.values():
            store.add_cert(value)
        ctx.set_verify(VERIFY_PEER | VERIFY_FAIL_IF_NO_PEER_CERT, self.verifyHostname)
        ctx.set_options(OP_NO_SSLv2)
        return ctx
    def verifyHostname(self, connection, x509, errno, depth, preverifyOK):
        if preverifyOK:
            if self.hostname != x509.get_subject().commonName:
                return False
        return preverifyOK
def secureGet(url):
    return getPage(url, HTTPSVerifyingContextFactory(URLPath.fromString(url).netloc))
def done(result):
    print 'Done!', len(result)
secureGet("https://google.com/").addCallback(done)
reactor.run()

    InformationsquelleAutor der Antwort Glyph

  4. 25

    PycURL hat das sehr schön.

    Unten ein kurzes Beispiel. Es wirft ein pycurl.error wenn etwas fischig, wo man ein Tupel mit Fehler-code und eine lesbare Nachricht.

    import pycurl

curl = pycurl.Curl()
curl.setopt(pycurl.CAINFO, "myFineCA.crt")
curl.setopt(pycurl.SSL_VERIFYPEER, 1)
curl.setopt(pycurl.SSL_VERIFYHOST, 2)
curl.setopt(pycurl.URL, "https://internal.stuff/")

curl.perform()

    Werden Sie wahrscheinlich wollen, konfigurieren Sie weitere Optionen, wie, wo Sie zum speichern der Ergebnisse, etc. Aber keine Notwendigkeit, verunstalteten das Beispiel mit den nicht-essentials.

    Beispiel dafür, was Ausnahmen erhoben werden könnten:

    (60, 'Peer certificate cannot be authenticated with known CA certificates')
(51, "common name 'CN=something.else.stuff,O=Example Corp,C=SE' does not match 'internal.stuff'")

    Einige links, die ich nützlich gefunden werden die libcurl-docs für setopt und getinfo.

    InformationsquelleAutor der Antwort plundra

  5. 14

    Hier ein Beispiel-script, welches zeigt, Zertifikat Validierung:

    import httplib
import re
import socket
import sys
import urllib2
import ssl

class InvalidCertificateException(httplib.HTTPException, urllib2.URLError):
    def __init__(self, host, cert, reason):
        httplib.HTTPException.__init__(self)
        self.host = host
        self.cert = cert
        self.reason = reason

    def __str__(self):
        return ('Host %s returned an invalid certificate (%s) %s\n' %
                (self.host, self.reason, self.cert))

class CertValidatingHTTPSConnection(httplib.HTTPConnection):
    default_port = httplib.HTTPS_PORT

    def __init__(self, host, port=None, key_file=None, cert_file=None,
                             ca_certs=None, strict=None, **kwargs):
        httplib.HTTPConnection.__init__(self, host, port, strict, **kwargs)
        self.key_file = key_file
        self.cert_file = cert_file
        self.ca_certs = ca_certs
        if self.ca_certs:
            self.cert_reqs = ssl.CERT_REQUIRED
        else:
            self.cert_reqs = ssl.CERT_NONE

    def _GetValidHostsForCert(self, cert):
        if 'subjectAltName' in cert:
            return [x[1] for x in cert['subjectAltName']
                         if x[0].lower() == 'dns']
        else:
            return [x[0][1] for x in cert['subject']
                            if x[0][0].lower() == 'commonname']

    def _ValidateCertificateHostname(self, cert, hostname):
        hosts = self._GetValidHostsForCert(cert)
        for host in hosts:
            host_re = host.replace('.', '\.').replace('*', '[^.]*')
            if re.search('^%s$' % (host_re,), hostname, re.I):
                return True
        return False

    def connect(self):
        sock = socket.create_connection((self.host, self.port))
        self.sock = ssl.wrap_socket(sock, keyfile=self.key_file,
                                          certfile=self.cert_file,
                                          cert_reqs=self.cert_reqs,
                                          ca_certs=self.ca_certs)
        if self.cert_reqs & ssl.CERT_REQUIRED:
            cert = self.sock.getpeercert()
            hostname = self.host.split(':', 0)[0]
            if not self._ValidateCertificateHostname(cert, hostname):
                raise InvalidCertificateException(hostname, cert,
                                                  'hostname mismatch')


class VerifiedHTTPSHandler(urllib2.HTTPSHandler):
    def __init__(self, **kwargs):
        urllib2.AbstractHTTPHandler.__init__(self)
        self._connection_args = kwargs

    def https_open(self, req):
        def http_class_wrapper(host, **kwargs):
            full_kwargs = dict(self._connection_args)
            full_kwargs.update(kwargs)
            return CertValidatingHTTPSConnection(host, **full_kwargs)

        try:
            return self.do_open(http_class_wrapper, req)
        except urllib2.URLError, e:
            if type(e.reason) == ssl.SSLError and e.reason.args[0] == 1:
                raise InvalidCertificateException(req.host, '',
                                                  e.reason.args[1])
            raise

    https_request = urllib2.HTTPSHandler.do_request_

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print "usage: python %s CA_CERT URL" % sys.argv[0]
        exit(2)

    handler = VerifiedHTTPSHandler(ca_certs = sys.argv[1])
    opener = urllib2.build_opener(handler)
    print opener.open(sys.argv[2]).read()

    InformationsquelleAutor der Antwort Eli Courtwright

  6. 12

    Oder einfach machen Sie Ihr Leben einfacher, indem Sie die Anfragen Bibliothek:

    import requests
requests.get('https://somesite.com', cert='/path/server.crt', verify=True)

    Ein paar mehr Worte über seine Verwendung.

    InformationsquelleAutor der Antwort ufo

  7. 8

    M2Crypto kann dazu die Validierung. Sie können auch M2Crypto mit Twistedwenn Sie mögen. Die Chandler desktop-client verwendet Twisted-für die Vernetzung und M2Crypto für SSLeinschließlich der Zertifikat Validierung.

    Basierend auf Glyphen Kommentar wie es scheint, M2Crypto ist besser-Zertifikat-Verifizierung standardmäßig als das, was Sie tun können, mit pyOpenSSL aktuell, da M2Crypto überprüft, subjectAltName-Feld zu.

    Habe ich auch gebloggt, wie die Zertifikate erhalten Mozilla Firefox Schiffe mit Python und nutzbar mit Python SSL-Lösungen.

    InformationsquelleAutor der Antwort Heikki Toivonen

  8. 4

    Jython FÜHRT certificate verification standardmäßig, so dass die Verwendung von standard-library-Module, z.B. httplib.HTTPSConnection, etc, mit jython werden Zertifikate überprüfen und geben Sie die Ausnahmen für die Ausfälle, d.h. nicht übereinstimmende Identitäten, abgelaufene certs, etc.

    In der Tat, Sie haben zu tun, einige zusätzliche Arbeit, um jython, Verhalten sich wie cpython, also um jython NICHT überprüfen, CERT.

    Ich geschrieben habe, einen blog-post auf, wie man deaktivieren, überprüfen von Zertifikaten auf jython, da kann es nützlich sein, die in Testphasen, etc.

    Installation eines all-Vertrauen-Sicherheit-Anbieter auf java und jython.

    http://jython.xhaus.com/installing-an-all-trusting-security-provider-on-java-and-jython/

    InformationsquelleAutor der Antwort Alan Kennedy

  9. 0

    Ich hatte das gleiche problem, aber wollte, um 3rd-party-Abhängigkeiten (weil dieser one-off-Skript ausgeführt werden, indem viele Benutzer). Meine Lösung war, um wickeln Sie ein curl rufen und stellen Sie sicher, dass der exit-code war 0. Arbeitete wie ein Charme.

    InformationsquelleAutor der Antwort Ztyx

  10. -1

    pyOpenSSL ist eine Schnittstelle zur OpenSSL-Bibliothek. Es sollte alles bieten, was Sie brauchen.

    InformationsquelleAutor der Antwort DisplacedAussie

Schreibe einen Kommentar