openssl、python要求エラー：「証明書の検証に失敗しました」

Question

開発ボックスから次のコマンドを実行すると：

$ openssl s_client -connect github.com:443

出力の次の最終行が表示されます。

Verify return code: 20 (unable to get local issuer certificate)

リクエストでこれを行おうとすると、別の失敗したリクエストを受け取ります：

>>> import requests >>> r = requests.get('https://github.com/', verify=True)

例外が発生した場合：

SSLError: [Errno 1] _ssl.c:507: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

検証フラグを使用して最初のコマンドを実行し、同様の出力を取得することもできます。

$ openssl s_client -connect github.com:443 -verify 9 ... Verify return code: 27 (certificate not trusted)

基本的に、これは証明書に問題があることを教えてくれます。私は両方の方法で特定の証明書を指定でき、それは機能します：

$ openssl s_client -connect github.com:443 -CAfile /etc/ssl/certs/DigiCert_High_Assurance_EV_Root_CA.pem -verify 9 ... Verify return code: 0 (ok)

そして：

>>> r = requests.get('https://github.com/', verify='/etc/ssl/certs/DigiCert...pem') <Response [200]>

だから、私の質問に、ここで正確に何が間違っていますか？要求/ opensslは、有効な証明書の場所をすでに知っているべきではありませんか？

他の情報：

Python == 2.7.6
requests == 2.2.1
openssl 0.9.8h

また、verify=Falseからrequests.getメソッドも機能しますが、確認したいと思います。

[〜＃〜] edit [〜＃〜]

@Heikki Toivonenが回答で示したように、実行中のopensslのバージョンに-CAfileフラグを指定することを確認しました。

$ openssl s_client -connect github.com:443 -CAfile `python -c 'import requests; print(requests.certs.where())'` ... Verify return code: 0 (ok)

したがって、私が実行しているopensslのバージョンに問題はなく、リクエストが提供するデフォルトのcacert.pemファイルにも問題はありません。

Opensslがそのように機能すること、つまりCAfileまたは証明書を見つける場所を指定する必要があることを知ったので、リクエストを機能させることをもっと心配しています。

私が実行した場合：

>>> r = requests.get('https://github.com/', verify='path to cacert.pem file')

以前と同じエラーが引き続き発生します。 http://curl.haxx.se/ca からcacert.pemファイルをダウンロードしようとしても、それでも動作しませんでした。要求は、特定のベンダー証明書ファイルを指定した場合にのみ（この特定のマシンで）動作するようです。

サイドノート：私のローカルマシンでは、すべてが期待通りに機能しています。ただし、2つのマシンにはいくつかの違いがあります。これまでのところ、この問題の原因となる具体的な違いを特定することはできませんでした。

jww · Answer

開発ボックスから次のコマンドを実行すると：
$ openssl s_client -connect github.com:443 
出力の次の最終行が表示されます。
Verify return code: 20 (unable to get local issuer certificate) 

信頼のルートとしてDigiCert High Assurance EV CA-1がありません：

$ openssl s_client -connect github.com:443 CONNECTED(00000003) depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV CA-1 verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV CA-1 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV CA-1 i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA --- Server certificate ... Start Time: 1393392088 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate)

DigiCert Trusted Root Authority Certificates ：からDigiCert High Assurance EV CA-1をダウンロードします。

$ wget https://www.digicert.com/CACerts/DigiCertHighAssuranceEVCA-1.crt --2014-02-26 00:27:50-- https://www.digicert.com/CACerts/DigiCertHighAssuranceEVCA-1.crt Resolving www.digicert.com (www.digicert.com)... 64.78.193.234 ...

DERでエンコードされた証明書をPEMに変換します。

$ openssl x509 -in DigiCertHighAssuranceEVCA-1.crt -inform DER -out DigiCertHighAssuranceEVCA-1.pem -outform PEM

次に、-CAfileを介してOpenSSLで使用します。

$ openssl s_client -CAfile DigiCertHighAssuranceEVCA-1.pem -connect github.com:443 CONNECTED(00000003) depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA verify return:1 depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV CA-1 verify return:1 depth=0 businessCategory = Private Organization, 1.3.6.1.4.1.311.60.2.1.3 = US, 1.3.6.1.4.1.311.60.2.1.2 = Delaware, serialNumber = 5157550, street = 548 4th Street, postalCode = 94107, C = US, ST = California, L = San Francisco, O = "GitHub, Inc.", CN = github.com verify return:1 --- Certificate chain 0 s:/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV CA-1 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV CA-1 i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA --- Server certificate -----BEGIN CERTIFICATE----- MIIHOjCCBiKgAwIBAgIQBH++LkveAITSyvjj7P5wWDANBgkqhkiG9w0BAQUFADBp MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3 d3cuZGlnaWNlcnQuY29tMSgwJgYDVQQDEx9EaWdpQ2VydCBIaWdoIEFzc3VyYW5j ZSBFViBDQS0xMB4XDTEzMDYxMDAwMDAwMFoXDTE1MDkwMjEyMDAwMFowgfAxHTAb BgNVBA8MFFByaXZhdGUgT3JnYW5pemF0aW9uMRMwEQYLKwYBBAGCNzwCAQMTAlVT MRkwFwYLKwYBBAGCNzwCAQITCERlbGF3YXJlMRAwDgYDVQQFEwc1MTU3NTUwMRcw FQYDVQQJEw41NDggNHRoIFN0cmVldDEOMAwGA1UEERMFOTQxMDcxCzAJBgNVBAYT AlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1TYW4gRnJhbmNpc2Nv MRUwEwYDVQQKEwxHaXRIdWIsIEluYy4xEzARBgNVBAMTCmdpdGh1Yi5jb20wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDt04nDXXByCfMzTxpydNm2WpVQ u2hhn/f7Hxnh2gQxrxV8Gn/5c68d5UMrVgkARWlK6MRb38J3UlEZW9Er2TllNqAy GRxBc/sysj2fmOyCWws3ZDkstxCDcs3w6iRL+tmULsOFFTmpOvaI2vQniaaVT4Si N058JXg6yYNtAheVeH1HqFWD7hPIGRqzPPFf/jsC4YX7EWarCV2fTEPwxyReKXIo ztR1aE8kcimuOSj8341PTYNzdAxvEZun3WLe/+LrF+b/DL/ALTE71lmi8t2HSkh7 bTMRFE00nzI49sgZnfG2PcVG71ELisYz7UhhxB0XG718tmfpOc+lUoAK9OrNAgMB AAGjggNUMIIDUDAfBgNVHSMEGDAWgBRMWMsl8EFPUvQoyIFDm6aooOaS5TAdBgNV HQ4EFgQUh9GPGW7kh29TjHeRB1Dfo79VRyAwJQYDVR0RBB4wHIIKZ2l0aHViLmNv bYIOd3d3LmdpdGh1Yi5jb20wDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsG AQUFBwMBBggrBgEFBQcDAjBjBgNVHR8EXDBaMCugKaAnhiVodHRwOi8vY3JsMy5k aWdpY2VydC5jb20vZXZjYTEtZzIuY3JsMCugKaAnhiVodHRwOi8vY3JsNC5kaWdp Y2VydC5jb20vZXZjYTEtZzIuY3JsMIIBxAYDVR0gBIIBuzCCAbcwggGzBglghkgB hv1sAgEwggGkMDoGCCsGAQUFBwIBFi5odHRwOi8vd3d3LmRpZ2ljZXJ0LmNvbS9z c2wtY3BzLXJlcG9zaXRvcnkuaHRtMIIBZAYIKwYBBQUHAgIwggFWHoIBUgBBAG4A eQAgAHUAcwBlACAAbwBmACAAdABoAGkAcwAgAEMAZQByAHQAaQBmAGkAYwBhAHQA ZQAgAGMAbwBuAHMAdABpAHQAdQB0AGUAcwAgAGEAYwBjAGUAcAB0AGEAbgBjAGUA IABvAGYAIAB0AGgAZQAgAEQAaQBnAGkAQwBlAHIAdAAgAEMAUAAvAEMAUABTACAA YQBuAGQAIAB0AGgAZQAgAFIAZQBsAHkAaQBuAGcAIABQAGEAcgB0AHkAIABBAGcA cgBlAGUAbQBlAG4AdAAgAHcAaABpAGMAaAAgAGwAaQBtAGkAdAAgAGwAaQBhAGIA aQBsAGkAdAB5ACAAYQBuAGQAIABhAHIAZQAgAGkAbgBjAG8AcgBwAG8AcgBhAHQA ZQBkACAAaABlAHIAZQBpAG4AIABiAHkAIAByAGUAZgBlAHIAZQBuAGMAZQAuMH0G CCsGAQUFBwEBBHEwbzAkBggrBgEFBQcwAYYYaHR0cDovL29jc3AuZGlnaWNlcnQu Y29tMEcGCCsGAQUFBzAChjtodHRwOi8vY2FjZXJ0cy5kaWdpY2VydC5jb20vRGln aUNlcnRIaWdoQXNzdXJhbmNlRVZDQS0xLmNydDAMBgNVHRMBAf8EAjAAMA0GCSqG SIb3DQEBBQUAA4IBAQBfFW1nwzrVo94WnEUzJtU9yRZ0NMqHSBsUkG31q0eGufW4 4wFFZWjuqRJ1n3Ym7xF8fTjP3fdKGQnxIHKSsE0nuuh/XbQX5DpBJknHdGFoLwY8 xZ9JPI57vgvzLo8+fwHyZp3Vm/o5IYLEQViSo+nlOSUQ8YAVqu6KcsP/e612UiqS +UMBmgdx9KPDDzZy4MJZC2hbfUoXj9A54mJN8cuEOPyw3c3yKOcq/h48KzVguQXi SdJbwfqNIbQ9oJM+YzDjzS62+TCtNSNWzWbwABZCmuQxK0oEOSbTmbhxUF7rND3/ +mx9u8cY//7uAxLWYS5gIZlCbxcf0lkiKSHJB319 -----END CERTIFICATE----- subject=/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV CA-1 --- No client certificate CA names sent --- SSL handshake has read 4139 bytes and written 446 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES128-GCM-SHA256 Session-ID: 59D2883BBCE8E81E63E5551FAE7D1ACC00C49A9473C1618237BBBB0DD9016B8D Session-ID-ctx: Master-Key: B6D2763FF29E77C67AD83296946A4D44CDBA4F37ED6F20BC27602F1B1A2D137FACDEAC862C11279C01095594F9776F79 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1393392673 Timeout : 300 (sec) Verify return code: 0 (ok)

要求/ opensslは、有効な証明書の場所をすでに知っているべきではありませんか？

いいえ。OpenSSLはデフォルトでは何も信頼しません。ほとんどすべてがデフォルトで信頼されているブラウザのモデルとは正反対です。

 $ openssl s_client -connect github.com:443 -CAfile `python -c 'import requests; print(requests.certs.where())'` ... >>> r = requests.get('https://github.com/', verify='path to cacert.pem file')

サイトの公開キーを認証している1つのCAを知っているのに、何百ものCAと下位CA（re：cacert.pem）を信頼するのはなぜですか？必要なルートだけを信頼します：DigiCert High Assurance EV CA-1。

ブラウザのモデルのように、すべてを信頼することで、Diginotarルートが侵害されたときに、Comodo HackerがGmail、Hotmail、Yahooなどの証明書を偽装できるようになりました。

ecstaticpeon · Answer

リクエスト2.4.0から、著者推奨 certifi を使用します。これはルート証明書のコレクションです。 pythonパッケージがあります：

pip install certifi

Heikki Toivonen · Answer

デフォルトでは、openssl s_clientは同梱のCA証明書ファイルを使用しませんが、接続の検証を試みます。これが、パラメーターなしでテストが失敗し、-CAfileで機能する理由です。

同様に、Requestsはデフォルトで接続の検証を試みますが、CA証明書がどこにあるのかわからないようです。これは、OpenSSLのビルド/インストール時の環境の設定の問題である可能性があります。PythonまたはRequests。RequestsWebサイトでは、 https：// github。 com CAパスを設定する必要なし。