Desarrollo de Python
  1. Desarrollo de Python
  3. ssl.get_server_certificate para sitios con SNI (Indicación del nombre del servidor)
Intereting Posts
¿Cómo leer o escribir los atributos del archivo ashri en Windows usando Python y ctypes? Python Plotly Sankey Graph no aparece Animando el trazado de líneas “en crecimiento” en Python / Matplotlib Abrir web en nueva pestaña Selenium + Python Instalación de TensorFlow en Windows 7 – ‘pip3’ no se reconoce como un comando interno o externo, AttributeError: el objeto ‘ManyToManyField’ no tiene atributo ‘_m2m_reverse_name_cache’ contar el número de imágenes en una página web, usando urllib Pydata Blaze: ¿Permite el parallel processing o no? PyCharm no puede resolver PyGObject 3.0, pero el código se ejecuta bien django ValueError: literal no válido para int () con base 10: ” Método de la tira de Python Python: argparse argumentos opcionales sin guiones Empareja nombres, diálogos y acciones de la transcripción usando expresiones regulares python virtualenv No hay error de módulo herencia múltiple de Python que pasa argumentos a los constructores usando super

ssl.get_server_certificate para sitios con SNI (Indicación del nombre del servidor)

Estoy tratando de obtener el certificado de servidor de los subdominios de badssl.com (por ejemplo, https://expired.badssl.com ). 

import ssl ssl.get_server_certificate(('expired.badssl.com', 443))

Pero al examinar el certificado generado anteriormente veo que el certificado tiene

Identidad: badssl-fallback-unknown-subdomain-or-no-sni

lo que significa que SNI está fallando. ¿Cómo puedo obtener el certificado de servidor de diferentes subdominios de badssl.com? (Estoy usando python 2.7.12)

Encontré la respuesta. 

 import ssl hostname = "expired.badssl.com" port = 443 conn = ssl.create_connection((hostname, port)) context = ssl.SSLContext(ssl.PROTOCOL_SSLv23) sock = context.wrap_socket(conn, server_hostname=hostname) certificate = ssl.DER_cert_to_PEM_cert(sock.getpeercert(True))

La búsqueda de “Python ssl.get_server_certificate SNI” me llevó fácilmente a esta respuesta. Aunque la respuesta del OP es correcta, me gustaría brindar un poco más de información para futuras referencias.

Con algunos [nombre de host] s la llamada a continuación con Python 3.7: 

 ssl.get_server_certificate(("example.com", 443)

Se quejará con un rastreo que termina con: 

 ssl.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error (_ssl.c:1045)

Hacer una investigación adicional, haciendo uso de la utilidad openssl s_client , permite descubrir que esos mismos [nombre de host] que hicieron que el get_server_certificate fallara, también hace el siguiente comando: 

 openssl s_client -showcerts -connect example.com:443

fallar con este error: 

 SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:802

Tenga en cuenta que el mensaje de error es similar al que devuelve el código de Python.

El uso del interruptor -servername hizo el truco: 

 openssl s_client -showcerts -connect example.com:443 -servername example.com

lo que lleva a la conclusión de que el nombre de host investigado se refiere a un servidor seguro que hace uso de SNI (una buena explicación de lo que eso significa se encuentra en el artículo de Wikipedia de SNI ).

Entonces, volviendo a Python y observando el método get_server_certificate , examinando la fuente del módulo ssl ( aquí para su conveniencia), puede descubrir que la función incluye esta llamada: 

 context.wrap_socket(sock)

sin el argumento clave de server_hostname=hostname , lo que por supuesto debería significar que no se puede usar get_server_certificate para consultar un servidor SNI. Se requiere un poco más de esfuerzo: 

 hostname = "example.com" port = 443 context = ssl.create_default_context() with socket.create_connection((hostname, port)) as sock: with context.wrap_socket(sock, server_hostname=hostname) as sslsock: der_cert = sslsock.getpeercert(True) # from binary DER format to PEM pem_cert = ssl.DER_cert_to_PEM_cert(der_cert) print(pem_cert)