Python無法驗證用於SSL/TLS連接的任何CRL

Question

在Python 3.4中，可用於檢查證書是否被撤銷對CRL的一個verify_flags，設置爲VERIFY_CRL_CHECK_LEAF或VERIFY_CRL_CHECK_CHAIN。

我寫了一個簡單的測試程序。但是在我的系統中，即使這個腳本完全有效，該腳本也無法驗證任何連接。

import ssl 
import socket 

def tlscheck(domain, port): 
     addr = domain 

     ctx = ssl.create_default_context() 
     ctx.options &= ssl.CERT_REQUIRED 
     ctx.verify_flags = ssl.VERIFY_CRL_CHECK_LEAF 

     ctx.check_hostname = True 

     #ctx.load_default_certs() 
     #ctx.set_default_verify_paths() 
     #ctx.load_verify_locations(cafile="/etc/ssl/certs/ca-certificates.crt") 

     sock = ctx.wrap_socket(socket.socket(), server_hostname=addr) 
     sock.connect((addr, port)) 

     import pprint 
     print("TLS Ceritificate:") 
     pprint.pprint(sock.getpeercert()) 
     print("TLS Version:", sock.version()) 
     print("TLS Cipher:", sock.cipher()[0]) 
     exit() 

tlscheck("stackoverflow.com", 443) 

我的密碼總是以ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:645)退出。

首先我懷疑證書數據庫沒有正確加載。但是在我試過load_default_certs(),set_default_verify_paths(),load_verify_locations(cafile="/etc/ssl/certs/ca-certificates.crt")之後，他們都沒有工作。

此外，ctx.options &= ssl.CERT_REQUIRED按預期工作，它可以告訴證書鏈是否信任。但不適用於CRL ......這也表明我的CA是正確的。

我知道「/etc/ssl/certs/ca-certificates.crt」包含有效的CA.問題是什麼？

Answer 1

要檢查CRL，您必須手動下載CRL並將它們放在正確的位置，以便底層OpenSSL庫可以找到它。沒有自動下載CRL並指定查找CRL的地方也不直觀。你可以做什麼：

• 從證書中獲取CRL分發點。對於stackoverflow.com一個是http://crl3.digicert.com/sha2-ha-server-g5.crl
• 下載從那裏
• 它從DER格式爲PEM格式轉換當前CRL，因爲這是在下一步期待：
  openssl crl -inform der -in sha2-ha-server-g5.crl > sha2-ha-server-g5.crl.pem
• 添加位置在verify_locations：
  ctx.load_verify_locations(cafile="./sha2-ha-server-g5.crl.pem")

這樣你可以對照此CRL驗證證書。