问题背景
越来越多的网站已经支持https,相比于http更安全。尤其有的开发网站只支持https,例如微信公众平台。 这里暂时不提tornado如何搭建https服务,回头有时间再记一下。
SSLError
可以用AsyncHTTPClient
发送一个简单的https请求
https_url = "https://path"
https_client = AsyncHTTPClient()
response = yield YieldTask(token_client.fetch, access_token_url)
结果出现了如下问题
ssl.SSLError: [Errno 1] _ssl.c:510: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
参考tornado rejects valid SSL certificates
这个原因是因为证书设置不正确,那么我们可以通过下面的操作给AsyncHTTPClient设置证书。
import certifi
AsyncHTTPClient.configure(None, defaults=dict(ca_certs=certifi.where()))
但是这个设置以后,会发现虽然不报错了,但是请求还是会失败,错误原因依然是certificate verify failed
查看了certifi的主页 certifi
发现官方也给出了解释:
Unfortunately, old versions of OpenSSL (less than 1.0.2) sometimes fail to validate certificate chains that use the strong roots. For this reason, if you fail to validate a certificate using the certifi.where() mechanism, you can intentionally re-add the 1024-bit roots back into your bundle by calling certifi.old_where() instead. This is not recommended in production: if at all possible you should upgrade to a newer OpenSSL. However, if you have no other option, this may work for you.
其实大概就是因为openssl的老版本(地域1.0.2)用的校验是strong roots(指的是只信任了少部分ca吗?我也没太懂)。总之,有好几个解决方法:
1、换老版本的certifi来解决(因为老版本的certifi证书比较老,跟老版本的openssl正好合得来),但是这种方法不是非常好,目前看网上用的是certifi==2015.04.28
版本,这个版本也没有certifi.old_where(),因为本身就是老的……
2、就用新版本的certifi,但是验证时用certifi.old_where()下面的证书来进行配置
import certifi
AsyncHTTPClient.configure(None, defaults=dict(ca_certs=certifi.old_where()))
3、升级python版本到2.7.9以上,因为这之后,python进行https请求时,不用再通过certifi来配置,而是已经内置了相关的证书。
4、升级openssl到1.0.2及以上。
推荐升级openssl或者Python版本,如果因为环境限制,实在没办法的话用old_where也行。