当python `requests`库在进行https连接时,如果客户端的tls版本过低(如tlsv1.0),可能导致服务器拒绝连接并抛出`connectionreseterror`。本文将深入探讨此问题的原因,并提供一套完整的解决方案,包括如何强制指定tls协议版本、配置加密套件(cipher suites)以及正确处理ssl证书验证,以确保python应用程序能够与现代安全标准的服务器建立稳定且安全的连接。
TLS握手失败:客户端为何使用旧版TLS?
在进行HTTPS通信时,客户端和服务器之间需要通过TLS(Transport Layer Security)协议进行握手,协商加密算法和会话密钥。如果客户端在Client Hello消息中提议的TLS版本过旧,而服务器已禁用该版本(例如,为了满足PCI DSS等安全标准,许多服务器不再支持TLSv1.0和TLSv1.1),则服务器会直接拒绝连接,导致客户端收到ConnectionResetError。
常见问题现象如下:
Wireshark捕获分析:在网络流量中,可以看到客户端发送的Client Hello消息明确指出使用的TLS版本为TLSv1.0,而不是预期的TLSv1.2或TLSv1.3。Python异常:应用程序抛出ConnectionResetError: [Errno 104] Connection reset by peer,表明连接在建立初期就被对端重置。
即使Python环境中的OpenSSL库是最新版本(例如OpenSSL 1.1.1w),Python的ssl模块或requests库的默认行为有时仍可能导致使用较旧的TLS版本。这通常需要我们显式地配置SSLContext来强制使用更安全的TLS协议。
诊断服务器支持的TLS版本与加密套件
在尝试修复客户端配置之前,了解目标服务器支持的TLS版本和加密套件至关重要。可以使用openssl s_client命令进行诊断:
立即学习“Python免费学习笔记(深入)”;
openssl s_client -connect www.handlingandfulfilment.co.uk:443
或者,如果服务运行在非标准端口:
openssl s_client -connect www.handlingandfulfilment.co.uk:8079
该命令的输出会显示成功建立连接时使用的TLS版本和加密套件,例如:
New, TLSv1.2, Cipher is AES256-GCM-SHA384
这表明服务器支持TLSv1.2,并且AES256-GCM-SHA384是一个可用的加密套件。这些信息将指导我们配置Python客户端。
强制TLS版本与指定加密套件
Python的ssl模块允许我们创建自定义的SSLContext,从而精细控制TLS握手行为。
AI建筑知识问答
用人工智能ChatGPT帮你解答所有建筑问题
22 查看详情
1. 禁用旧版TLS协议
通过设置SSLContext的options属性,可以禁用TLSv1.0和TLSv1.1:
import sslcontext = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)# 禁用TLS 1.0 和 TLS 1.1context.options |= ssl.OP_NO_TLSv1context.options |= ssl.OP_NO_TLSv1_1# 对于更现代的应用,也可以禁用TLS 1.2,强制TLS 1.3# context.options |= ssl.OP_NO_TLSv1_2
使用ssl.PROTOCOL_TLS_CLIENT是创建客户端SSLContext的推荐方式,它会自动设置一些合理的默认值。
2. 指定加密套件
根据openssl s_client的诊断结果,我们可以使用set_ciphers方法来指定允许的加密套件。例如,如果服务器使用AES256-GCM-SHA384:
CIPHERS = 'ECDHE-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:!aNULL:!MD5'context.set_ciphers(CIPHERS)
这里的!aNULL:!MD5是常见的做法,用于排除不安全的匿名加密套件和使用MD5哈希的套件。
证书验证与certifi
在配置TLS版本和加密套件后,可能会遇到证书验证失败的问题。这是因为客户端需要一个信任的根证书颁发机构(CA)列表来验证服务器提供的证书。certifi库提供了一个最新的、经过Mozilla维护的CA证书包,可以很方便地集成到SSLContext中:
import certificontext.load_verify_locations(certifi.where())
将配置应用于requests和zeep
对于使用requests库(或其上层库如zeep)的应用程序,最优雅的解决方案是创建一个自定义的HTTPAdapter。
import certifiimport requestsfrom requests.adapters import HTTPAdapter, Retryfrom urllib3 import PoolManagerfrom urllib3.util.ssl_ import create_urllib3_contextfrom zeep import Clientfrom zeep.transports import Transportfrom dataclasses import dataclass, field# 定义所需的加密套件CIPHERS = 'ECDHE-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:!aNULL:!MD5'class TLSAdapter(HTTPAdapter): """ 自定义HTTPAdapter,用于强制TLS版本、指定加密套件和加载certifi证书。 """ def init_poolmanager(self, *args, **kwargs): # 创建一个带有指定加密套件的SSL上下文 context = create_urllib3_context(ciphers=CIPHERS) # 加载certifi提供的CA证书 context.load_verify_locations(certifi.where()) # 再次设置加密套件,确保生效 context.set_ciphers(CIPHERS) # 禁用TLS 1.0 和 TLS 1.1 # SSL_OP_NO_TLSv1 (0x80000) 和 SSL_OP_NO_TLSv1_1 (0x1000000) 是OpenSSL的选项标志 context.options |= 0x80000 # ssl.OP_NO_TLSv1 context.options |= 0x1000000 # ssl.OP_NO_TLSv1_1 # 将自定义的SSL上下文传递给urllib3的PoolManager self.poolmanager = PoolManager(*args, ssl_context=context, **kwargs)def requests_retry_session( retries=8, backoff_factor=0.3, status_forcelist=(500, 502, 503, 504), session=None,) -> requests.Session: """ 创建一个带有重试机制和自定义TLS配置的requests会话。 """ session = session or requests.Session() retry = Retry( total=retries, read=retries, connect=retries, backoff_factor=backoff_factor, status_forcelist=status_forcelist, ) # 使用自定义的TLSAdapter挂载到http和https协议上 adapter = TLSAdapter(max_retries=retry) session.mount('http://', adapter) session.mount('https://', adapter) return session# 示例:如何将此会话用于zeep客户端@dataclass(order=True)class ArkH: wsdl_url: str consumerName: str passCode: str helixClientName: str helixUsername: str userPassword: str client: Client = field(init=False) dummyCustomer: str dummy_customer_mapping: dict = field(default_factory=lambda: {'CTS':'CTS'}) dear_warehouse: str dear_ship_after_3PL_shipment_date: bool def __post_init__(self): # 创建一个带有自定义TLS配置和重试机制的requests会话 session = requests_retry_session() # 将此会话传递给Zeep的Transport transport = Transport(session=session, timeout=40, operation_timeout=40) self.client = Client(self.wsdl_url, transport=transport)# 实际使用示例 (假设你有一个WSDL URL)# ark_client = ArkH(# wsdl_url='https://www.handlingandfulfilment.co.uk:8079/YourService?wsdl',# consumerName='your_consumer',# passCode='your_passcode',# helixClientName='your_helix_client',# helixUsername='your_helix_username',# userPassword='your_user_password',# dummyCustomer='CTS',# dear_warehouse='main',# dear_ship_after_3PL_shipment_date=True# )# print("Zeep client initialized with custom TLS settings.")
注意事项与最佳实践
OpenSSL版本:确保你的Python环境使用的OpenSSL库是最新且安全的版本。Python的ssl模块通常会绑定到系统安装的OpenSSL库。Cipher Suites选择:选择加密套件时,应优先考虑安全性和兼容性。openssl s_client是一个很好的起点,但应避免过度限制,除非有明确的安全要求。证书更新:certifi库应定期更新,以确保包含最新的可信CA证书。错误处理:即使配置了正确的TLS版本和加密套件,网络问题、服务器端配置变更等仍可能导致连接失败。在应用程序中实现健壮的错误处理和重试机制(如requests_retry_session所示)是必不可少的。调试:当遇到TLS问题时,启用requests和urllib3的调试日志可以提供详细的握手信息,帮助诊断问题:
import logginglogging.basicConfig()logging.getLogger().setLevel(logging.DEBUG)requests_log = logging.getLogger("requests.packages.urllib3")requests_log.setLevel(logging.DEBUG)requests_log.propagate = True
总结
解决Python requests或zeep连接中因TLS版本过旧导致的ConnectionResetError,关键在于显式地配置SSLContext。这包括禁用不安全的TLS协议版本(如TLSv1.0和TLSv1.1)、指定服务器支持的加密套件,以及利用certifi库确保正确的证书验证。通过创建自定义的HTTPAdapter并将其挂载到requests.Session上,可以优雅且一致地将这些安全配置应用到整个应用程序的HTTP/HTTPS请求中,从而提高连接的稳定性和安全性。
以上就是解决Python Requests TLSv1握手失败与服务器拒绝连接问题的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/591631.html
微信扫一扫 
支付宝扫一扫 
