个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
28
4
通过将我的浏览器指向 https://graph.facebook.com/me ,我得到一个加密的 HTTPS 连接,证书链是:
所以我已经从https://www.digicert.com/digicert-root-certificates.htm下载了根证书(我也从我的浏览器导出了它,diff 显示它们是同一件事),并尝试使用 Python 内置的 SSL 模块来验证连接到 graph.facebook.com 的真实性。
我刚刚执行了示例 http://docs.python.org/library/ssl.html#client-side-operation ,将 ca_cert 替换为“DigiCertHighAssuranceEVRootCA.crt”,将地址替换为 graph.facebook.com。连接尝试失败,出现异常:
ssl.SSLError: [Errno 1] _ssl.c:499: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
如果我针对 ev-root.digicert.com(这是 DigiCert 提供的用于测试客户端是否可以验证其证书的地址)尝试相同的代码和证书,一切正常。通过浏览器,我可以验证此连接中使用的链是:
通过运行 ssl.get_server_certificate(('graph.facebook.com', 443))我的浏览器获得了标识为“*.facebook.com”的相同证书,这意味着 Python 代码和我的浏览器都获得了相同的证书来验证。
为什么 Chrome 可以使用给定的根证书验证 graph.facebook.com,Python 可以使用相同的根证书验证另一个站点,但 Python 不能验证 graph.facebook.com?
最佳答案
我从 OpenSSL 邮件列表中得到了答案。似乎“DigiCert High Assurance EV Root CA”在自签名之前由另一个证书颁发机构签名。现在有两个版本的证书。一个与 SSL 实现捆绑在一起,由 DigiCert 提供下载,它是自签名的,可以用作根 CA 来验证它签署的其他证书。另一个版本是 Facebook 服务器在 SSL 握手过程中返回的版本,由一些 Entrust 证书签名。两者具有相同的公钥和 keyid。
NSS,Firefox 和 Chrome 的 SSL 实现,显然正确地遵循了 X.509 规范并忽略了服务器发送的链中的最后一个证书,并使用其自己的可信版本“DigiCert High Assurance EV Root CA”来验证链。 Python 的实现基于 OpenSSL,它使用主机提供的证书验证“DigiCert High Assurance CA-3”,然后尝试验证最后一个。由于它是由其他 CA 签名的,而我没有提供该证书,因此它失败了。我不认为这种行为是正确的,因为我已经信任链中间的证书,理论上我不需要检查其余部分。
我的解决方案是向 ssl 模块提供验证“DigiCert High Assurance EV Root CA”的 Entrust 证书。
关于python - 为什么 python SSL 模块无法验证 graph.facebook.com 证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7700274/
28
4
0
我通过 spring ioc 编写了一些 Rest 应用程序。但我无法解决这个问题。这是我的异常(exception): org.springframework.beans.factory.BeanC
我对 TestNG、Spring 框架等完全陌生,我正在尝试使用注释 @Value通过 @Configuration 访问配置文件注释。 我在这里想要实现的目标是让控制台从配置文件中写出“hi”,通过
为此工作了几个小时。我完全被难住了。 这是 CS113 的实验室。 如果用户在程序(二进制计算器)结束时选择继续,我们需要使用 goto 语句来到达程序的顶部。 但是,我们还需要释放所有分配的内存。
我正在尝试使用 ffmpeg 库构建一个小的 C 程序。但是我什至无法使用 avformat_open_input() 打开音频文件设置检查错误代码的函数后,我得到以下输出: Error code:
使用 Spring Initializer 创建一个简单的 Spring boot。我只在可用选项下选择 DevTools。 创建项目后,无需对其进行任何更改,即可正常运行程序。 现在,当我尝试在项目
所以我只是在 Mac OS X 中通过 brew 安装了 qt。但是它无法链接它。当我尝试运行 brew link qt 或 brew link --overwrite qt 我得到以下信息: ton
我在提交和 pull 时遇到了问题:在提交的 IDE 中,我看到: warning not all local changes may be shown due to an error: unable
我跑 man gcc | grep "-L" 我明白了 Usage: grep [OPTION]... PATTERN [FILE]... Try `grep --help' for more inf
我有一段代码,旨在接收任何 URL 并将其从网络上撕下来。到目前为止,它运行良好,直到有人给了它这个 URL: http://www.aspensurgical.com/static/images/a
在过去的 5 个小时里,我一直在尝试在我的服务器上设置 WireGuard,但在完成所有设置后,我无法 ping IP 或解析域。 下面是服务器配置 [Interface] Address = 10.
我正在尝试在 GitLab 中 fork 我的一个私有(private)项目,但是当我按下 fork 按钮时,我会收到以下信息: No available namespaces to fork the
我这里遇到了一些问题。我是 node.js 和 Rest API 的新手,但我正在尝试自学。我制作了 REST API,使用 MongoDB 与我的数据库进行通信,我使用 Postman 来测试我的路
下面的代码在控制台中给出以下消息: Uncaught DOMException: Failed to execute 'appendChild' on 'Node': The new child el
我正在尝试调用一个新端点来显示数据,我意识到在上一组有效的数据中,它在数据周围用一对额外的“[]”括号进行控制台,我认为这就是问题是,而新端点不会以我使用数据的方式产生它! 这是 NgFor 失败的原
我正在尝试将我的 Symfony2 应用程序部署到我的 Azure Web 应用程序,但遇到了一些麻烦。 推送到远程时,我在终端中收到以下消息 remote: Updating branch 'mas
Minikube已启动并正在运行,没有任何错误,但是我无法 curl IP。我在这里遵循:https://docs.traefik.io/user-guide/kubernetes/,似乎没有提到关闭
每当我尝试docker组成任何项目时,都会出现以下错误。 我尝试过有和没有sudo 我在这台机器上只有这个问题。我可以在Mac和Amazon WorkSpace上运行相同的容器。 (myslabs)
我正在尝试 pip install stanza 并收到此消息: ERROR: No matching distribution found for torch>=1.3.0 (from stanza
DNS 解析看起来不错,但我无法 ping 我的服务。可能是什么原因? 来自集群中的另一个 Pod: $ ping backend PING backend.default.svc.cluster.l
我正在使用Hibernate 4 + Spring MVC 4当我开始 Apache Tomcat Server 8我收到此错误: Error creating bean with name 'wel
我是一名优秀的程序员,十分优秀!