我正在尝试获取badssl.com子域的服务器证书(例如https://expired.badssl.com)。
import ssl
ssl.get_server_certificate(('expired.badssl.com', 443))
但是在检查上面生成的证书时,我发现证书有
身份:badssl-fallback-unknown-subdomain-or-no-sni
这意味着SNI失败了。如何获取badssl.com的不同子域的服务器证书? (我使用的是python 2.7.12)
答案 0 :(得分:10)
找到答案。
import ssl
hostname = "expired.badssl.com"
port = 443
conn = ssl.create_connection((hostname, port))
context = ssl.SSLContext(ssl.PROTOCOL_SSLv23)
sock = context.wrap_socket(conn, server_hostname=hostname)
certificate = ssl.DER_cert_to_PEM_cert(sock.getpeercert(True))
答案 1 :(得分:4)
搜索“ Python ssl.get_server_certificate SNI”使我很容易找到这个答案。尽管OP自己的回答是正确的,但我想提供更多的见识,以供将来参考。
对于某些[hostname]使用Python 3.7的休假调用:
ssl.get_server_certificate(("example.com", 443)
将抱怨以以下结尾的跟踪:
ssl.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error (_ssl.c:1045)
使用openssl s_client实用程序进行进一步的调查,可以发现导致get_server_certificate失败的相同[主机名]也使以下命令失效:
openssl s_client -showcerts -connect example.com:443
因此错误而失败:
SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:802
请注意,错误消息类似于python代码返回的错误消息。
使用-servername开关可以达到目的:
openssl s_client -showcerts -connect example.com:443 -servername example.com
得出结论,即所调查的主机名是指使用SNI的安全服务器(SNI维基百科文章对此有一个很好的解释)。
因此,再次切换到Python并查看get_server_certificate方法,检查ssl模块源(为方便起见,here),您会发现该函数包括此调用:
context.wrap_socket(sock)
没有server_hostname=hostname键参数,这当然意味着get_server_certificate不能用于查询SNI服务器。需要更多的努力:
hostname = "example.com"
port = 443
context = ssl.create_default_context()
with socket.create_connection((hostname, port)) as sock:
with context.wrap_socket(sock, server_hostname=hostname) as sslsock:
der_cert = sslsock.getpeercert(True)
# from binary DER format to PEM
pem_cert = ssl.DER_cert_to_PEM_cert(der_cert)
print(pem_cert)