当python `requests`库在进行https连接时,如果客户端的tls版本过低(如tlsv1.0),可能导致服务器拒绝连接并抛出`connectionreseterror`。本文将深入探讨此问题的原因,并提供一套完整的解决方案,包括如何强制指定tls协议版本、配置加密套件(cipher suites)以及正确处理ssl证书验证,以确保python应用程序能够与现代安全标准的服务器建立稳定且安全的连接。
TLS握手失败:客户端为何使用旧版TLS?
在进行HTTPS通信时,客户端和服务器之间需要通过TLS(Transport Layer Security)协议进行握手,协商加密算法和会话密钥。如果客户端在Client Hello消息中提议的TLS版本过旧,而服务器已禁用该版本(例如,为了满足PCI DSS等安全标准,许多服务器不再支持TLSv1.0和TLSv1.1),则服务器会直接拒绝连接,导致客户端收到ConnectionResetError。
常见问题现象如下:
- Wireshark捕获分析:在网络流量中,可以看到客户端发送的Client Hello消息明确指出使用的TLS版本为TLSv1.0,而不是预期的TLSv1.2或TLSv1.3。
- Python异常:应用程序抛出ConnectionResetError: [Errno 104] Connection reset by peer,表明连接在建立初期就被对端重置。
即使Python环境中的OpenSSL库是最新版本(例如OpenSSL 1.1.1w),Python的ssl模块或requests库的默认行为有时仍可能导致使用较旧的TLS版本。这通常需要我们显式地配置SSLContext来强制使用更安全的TLS协议。
诊断服务器支持的TLS版本与加密套件
在尝试修复客户端配置之前,了解目标服务器支持的TLS版本和加密套件至关重要。可以使用openssl s_client命令进行诊断:
立即学习“Python免费学习笔记(深入)”;
openssl s_client -connect www.handlingandfulfilment.co.uk:443
或者,如果服务运行在非标准端口:
openssl s_client -connect www.handlingandfulfilment.co.uk:8079
该命令的输出会显示成功建立连接时使用的TLS版本和加密套件,例如:
New, TLSv1.2, Cipher is AES256-GCM-SHA384
这表明服务器支持TLSv1.2,并且AES256-GCM-SHA384是一个可用的加密套件。这些信息将指导我们配置Python客户端。
强制TLS版本与指定加密套件
Python的ssl模块允许我们创建自定义的SSLContext,从而精细控制TLS握手行为。
1. 禁用旧版TLS协议
通过设置SSLContext的options属性,可以禁用TLSv1.0和TLSv1.1:
import ssl context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT) # 禁用TLS 1.0 和 TLS 1.1 context.options |= ssl.OP_NO_TLSv1 context.options |= ssl.OP_NO_TLSv1_1 # 对于更现代的应用,也可以禁用TLS 1.2,强制TLS 1.3 # context.options |= ssl.OP_NO_TLSv1_2
使用ssl.PROTOCOL_TLS_CLIENT是创建客户端SSLContext的推荐方式,它会自动设置一些合理的默认值。
2. 指定加密套件
根据openssl s_client的诊断结果,我们可以使用set_ciphers方法来指定允许的加密套件。例如,如果服务器使用AES256-GCM-SHA384:
CIPHERS = 'ECDHE-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:!aNULL:!MD5' context.set_ciphers(CIPHERS)
这里的!aNULL:!MD5是常见的做法,用于排除不安全的匿名加密套件和使用MD5哈希的套件。
证书验证与certifi
在配置TLS版本和加密套件后,可能会遇到证书验证失败的问题。这是因为客户端需要一个信任的根证书颁发机构(CA)列表来验证服务器提供的证书。certifi库提供了一个最新的、经过Mozilla维护的CA证书包,可以很方便地集成到SSLContext中:
import certifi context.load_verify_locations(certifi.where())
将配置应用于requests和zeep
对于使用requests库(或其上层库如zeep)的应用程序,最优雅的解决方案是创建一个自定义的HTTPAdapter。
import certifi
import requests
from requests.adapters import HTTPAdapter, Retry
from urllib3 import PoolManager
from urllib3.util.ssl_ import create_urllib3_context
from zeep import Client
from zeep.transports import Transport
from dataclasses import dataclass, field
# 定义所需的加密套件
CIPHERS = 'ECDHE-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:!aNULL:!MD5'
class TLSAdapter(HTTPAdapter):
"""
自定义HTTPAdapter,用于强制TLS版本、指定加密套件和加载certifi证书。
"""
def init_poolmanager(self, *args, **kwargs):
# 创建一个带有指定加密套件的SSL上下文
context = create_urllib3_context(ciphers=CIPHERS)
# 加载certifi提供的CA证书
context.load_verify_locations(certifi.where())
# 再次设置加密套件,确保生效
context.set_ciphers(CIPHERS)
# 禁用TLS 1.0 和 TLS 1.1
# SSL_OP_NO_TLSv1 (0x80000) 和 SSL_OP_NO_TLSv1_1 (0x1000000) 是OpenSSL的选项标志
context.options |= 0x80000 # ssl.OP_NO_TLSv1
context.options |= 0x1000000 # ssl.OP_NO_TLSv1_1
# 将自定义的SSL上下文传递给urllib3的PoolManager
self.poolmanager = PoolManager(*args, ssl_context=context, **kwargs)
def requests_retry_session(
retries=8,
backoff_factor=0.3,
status_forcelist=(500, 502, 503, 504),
session=None,
) -> requests.Session:
"""
创建一个带有重试机制和自定义TLS配置的requests会话。
"""
session = session or requests.Session()
retry = Retry(
total=retries,
read=retries,
connect=retries,
backoff_factor=backoff_factor,
status_forcelist=status_forcelist,
)
# 使用自定义的TLSAdapter挂载到http和https协议上
adapter = TLSAdapter(max_retries=retry)
session.mount('http://', adapter)
session.mount('https://', adapter)
return session
# 示例:如何将此会话用于zeep客户端
@dataclass(order=True)
class ArkH:
wsdl_url: str
consumerName: str
passCode: str
helixClientName: str
helixUsername: str
userPassword: str
client: Client = field(init=False)
dummyCustomer: str
dummy_customer_mapping: dict = field(default_factory=lambda: {'CTS':'CTS'})
dear_warehouse: str
dear_ship_after_3PL_shipment_date: bool
def __post_init__(self):
# 创建一个带有自定义TLS配置和重试机制的requests会话
session = requests_retry_session()
# 将此会话传递给Zeep的Transport
transport = Transport(session=session, timeout=40, operation_timeout=40)
self.client = Client(self.wsdl_url, transport=transport)
# 实际使用示例 (假设你有一个WSDL URL)
# ark_client = ArkH(
# wsdl_url='https://www.handlingandfulfilment.co.uk:8079/YourService?wsdl',
# consumerName='your_consumer',
# passCode='your_passcode',
# helixClientName='your_helix_client',
# helixUsername='your_helix_username',
# userPassword='your_user_password',
# dummyCustomer='CTS',
# dear_warehouse='main',
# dear_ship_after_3PL_shipment_date=True
# )
# print("Zeep client initialized with custom TLS settings.")注意事项与最佳实践
- OpenSSL版本:确保你的Python环境使用的OpenSSL库是最新且安全的版本。Python的ssl模块通常会绑定到系统安装的OpenSSL库。
- Cipher Suites选择:选择加密套件时,应优先考虑安全性和兼容性。openssl s_client是一个很好的起点,但应避免过度限制,除非有明确的安全要求。
- 证书更新:certifi库应定期更新,以确保包含最新的可信CA证书。
- 错误处理:即使配置了正确的TLS版本和加密套件,网络问题、服务器端配置变更等仍可能导致连接失败。在应用程序中实现健壮的错误处理和重试机制(如requests_retry_session所示)是必不可少的。
-
调试:当遇到TLS问题时,启用requests和urllib3的调试日志可以提供详细的握手信息,帮助诊断问题:
import logging logging.basicConfig() logging.getLogger().setLevel(logging.DEBUG) requests_log = logging.getLogger("requests.packages.urllib3") requests_log.setLevel(logging.DEBUG) requests_log.propagate = True
总结
解决Python requests或zeep连接中因TLS版本过旧导致的ConnectionResetError,关键在于显式地配置SSLContext。这包括禁用不安全的TLS协议版本(如TLSv1.0和TLSv1.1)、指定服务器支持的加密套件,以及利用certifi库确保正确的证书验证。通过创建自定义的HTTPAdapter并将其挂载到requests.Session上,可以优雅且一致地将这些安全配置应用到整个应用程序的HTTP/HTTPS请求中,从而提高连接的稳定性和安全性。
