Desarrollo de Python
  1. Desarrollo de Python
  3. ssl.get_server_certificate para sitios con SNI (Indicación del nombre del servidor)
Intereting Posts
Correlación por pares eficiente para dos matrices de características ¿Cómo instalar lxml para python sin derechos administrativos en linux? Reemplazo de valores en un multi-índice pandas ¿Cómo recorrer recursivamente todos los subdirectorios y leer archivos? Unión encontrar la implementación utilizando Python KeyError: ‘plotly_domain’ cuando se usa plotly para hacer un gráfico de dispersión en python Vim elimina automáticamente la sangría en los comentarios de Python ¿Cómo determinar si una ruta es un subdirectorio de otra? elegante encontrar sub-lista en la lista ¿Cómo ejecuto inserciones y actualizaciones en un script de actualización de Alembic? Página de índice de Django mejor / práctica más común recuperar enlaces de la página web usando python y BeautifulSoup Error de importación de Python: no se encontró el símbolo, pero el símbolo es * no está * presente en el archivo IPython: ¿cómo cargar automáticamente el archivo npz y asignar valores a las variables? Diccionario de Python vs If Velocidad de statement

ssl.get_server_certificate para sitios con SNI (Indicación del nombre del servidor)

Estoy tratando de obtener el certificado de servidor de los subdominios de badssl.com (por ejemplo, https://expired.badssl.com ). 

import ssl ssl.get_server_certificate(('expired.badssl.com', 443))

Pero al examinar el certificado generado anteriormente veo que el certificado tiene

Identidad: badssl-fallback-unknown-subdomain-or-no-sni

lo que significa que SNI está fallando. ¿Cómo puedo obtener el certificado de servidor de diferentes subdominios de badssl.com? (Estoy usando python 2.7.12)

Encontré la respuesta. 

 import ssl hostname = "expired.badssl.com" port = 443 conn = ssl.create_connection((hostname, port)) context = ssl.SSLContext(ssl.PROTOCOL_SSLv23) sock = context.wrap_socket(conn, server_hostname=hostname) certificate = ssl.DER_cert_to_PEM_cert(sock.getpeercert(True))

La búsqueda de “Python ssl.get_server_certificate SNI” me llevó fácilmente a esta respuesta. Aunque la respuesta del OP es correcta, me gustaría brindar un poco más de información para futuras referencias.

Con algunos [nombre de host] s la llamada a continuación con Python 3.7: 

 ssl.get_server_certificate(("example.com", 443)

Se quejará con un rastreo que termina con: 

 ssl.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error (_ssl.c:1045)

Hacer una investigación adicional, haciendo uso de la utilidad openssl s_client , permite descubrir que esos mismos [nombre de host] que hicieron que el get_server_certificate fallara, también hace el siguiente comando: 

 openssl s_client -showcerts -connect example.com:443

fallar con este error: 

 SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:802

Tenga en cuenta que el mensaje de error es similar al que devuelve el código de Python.

El uso del interruptor -servername hizo el truco: 

 openssl s_client -showcerts -connect example.com:443 -servername example.com

lo que lleva a la conclusión de que el nombre de host investigado se refiere a un servidor seguro que hace uso de SNI (una buena explicación de lo que eso significa se encuentra en el artículo de Wikipedia de SNI ).

Entonces, volviendo a Python y observando el método get_server_certificate , examinando la fuente del módulo ssl ( aquí para su conveniencia), puede descubrir que la función incluye esta llamada: 

 context.wrap_socket(sock)

sin el argumento clave de server_hostname=hostname , lo que por supuesto debería significar que no se puede usar get_server_certificate para consultar un servidor SNI. Se requiere un poco más de esfuerzo: 

 hostname = "example.com" port = 443 context = ssl.create_default_context() with socket.create_connection((hostname, port)) as sock: with context.wrap_socket(sock, server_hostname=hostname) as sslsock: der_cert = sslsock.getpeercert(True) # from binary DER format to PEM pem_cert = ssl.DER_cert_to_PEM_cert(der_cert) print(pem_cert)