今天遇到一个奇怪的问题,在用urllib打开一个https链接的时候,出现了一下报错信息:IOError: [Errno socket error] [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:727),报错问题就是证书验证失败,这种情况出现在网站使用的是自签名证书或系统根证书存在问题的时候。
原因:
Python 从 2.7.9版本开始,就默认开启了服务器证书验证功能,如果证书校验不通过,则拒绝后续操作;这样可以防止中间人攻击,并使客户端确保服务器确实是它声称的身份。如果是自签名证书,由于一般系统的CA证书中不存在在自签名的CA证书内容,从而导致证书验证不通过。
临时解决方案
方案1:通过环境部变量设置,关闭服务器证书验证功能
执行以下shell命令(假设你使用的是bash shell):
echo "export PYTHONHTTPSVERIFY=0" >> ~/.bashrc
source ~/.bashrc
方案2:取消服务器证书验证功能(全局影响)
在文件开始部分,加入如下代码:
import ssl
ssl._create_default_https_context = ssl._create_unverified_context
方案3:创建取消服务器证书验证的context参数(当前请求代码影响)
使用示例如下:
import ssl
context = ssl._create_unverified_context()
urllib.urlopen('https://www.baidu.com', context=context)
方案4:requests verify 参数设置为False,取消验证功能
使用示例如下:
requests.get(url, verify=False)
方案5:手动指定CA证书(Python3)
使用示例如下:
import urllib
urllib.request.urlopen("https://example.com/some/info", cafile="ca.pem")
当系统根证书存在问题的时候,可以使用 certifi提供的CA证书:
import certifi
import urllib
urllib.request.urlopen('https://example.com/bar/baz.html', cafile=certifi.where())