詳解sslverify

一、概述

sslverify是一種用於Python中https請求的標誌。如果sslverify為True，則https請求將驗證SSL證書，否則不驗證。在默認情況下，sslverify為True，在實際應用中可能會遇到各種問題。

sslverify在實際應用中非常重要，可以保證請求的安全性。但是，有些證書可能是自己簽發的，這時候我們就需要關閉sslverify。因此，我們需要更好地理解sslverify的特性及其在不同場景中的應用。

二、關於sslverify=True的問題

1、證書驗證失敗

import requests
response = requests.get('https://example.com', verify=True)

如果遠程主機的證書不是受信任的或不匹配，則會出現警告。您可以使用警告模塊禁用警告：

import requests
import urllib3
urllib3.disable_warnings()
response = requests.get('https://example.com', verify=True)

2、代理服務器

在使用代理服務器時，sslverify參數不起作用。因為sslverify是用於https請求的SSL證書，而代理服務器通常只處理http請求。

如果您的代理服務器可以處理https請求，並且您想驗證其證書，則需要在代理上執行證書驗證。

三、什麼時候應該禁用sslverify

如果您的應用程序使用的證書是自己簽發的，則可能需要禁用sslverify。此時，為了避免中間人攻擊，您需要確保傳輸數據的安全性。

在這種情況下，建議使用verify=False禁用SSL證書驗證，但是需要注意以下兩個問題：

1、請不要在生產環境中使用禁用驗證的請求。

2、請使用特定的證書驗證方法，以確保數據的安全性。例如，您可以使用SSL證書驗證，以確保在禁用sslverify時傳輸的數據是安全的：

import requests
from OpenSSL import SSL

def certificate_validation(hostname):
    ctx = SSL.Context(SSL.TLSv1_METHOD)
    ctx.check_hostname = False
    ctx.verify_mode = SSL.VERIFY_NONE
    sock = SSL.Connection(ctx)
    sock.connect((hostname, 443))
    cert = sock.get_peer_certificate()
    print(cert)

response = requests.get('https://example.com', verify=False)
certificate_validation('example.com')

四、如何使用自定義證書驗證

如果您需要使用自定義證書驗證，可以使用cert參數。此時，您需要提供一個PEM格式的證書鏈，其中包含一個或多個受信任證書。

例如，假設您有一個PEM格式的證書鏈，它包含一個受信任的證書和一個本地證書，您可以如下所示使用證書鏈：

import requests

response = requests.get('https://example.com', verify='path/to/cert.pem', cert='path/to/key.pem')

五、結論

sslverify是保證https請求安全的一種重要機制。當我們在使用https請求時，必須注意SSL證書的驗證。如果證書不受信任，我們需要禁用sslverify或提供自定義證書驗證。因此，我們需要更好地理解sslverify的特性及其在不同場景中的應用。