<p>httpie가 자체 서명된 인증서 신뢰를 거부합니다.</p>

에 만든 2017년 04월 25일 · 9코멘트 · 출처: httpie/httpie

나는 문제 #480에 대한 논의를 완전히 이해하지 못하지만 근본 원인은 이 문제에 대해 동일할 수 있다고 생각합니다. 자체 서명된 인증서를 신뢰하려면 httpie가 필요합니다. 기술적으로 자체 서명된 중간 인증 기관이지만 해당 기관의 실제 서버 인증서 중 하나를 사용하여 동일한 결과를 얻을 수 있습니다. 이 인증서는 curl을 포함하여 내 Mac(OS 10.12)의 다른 모든 응용 프로그램을 충족합니다. Httpie는 단순히 그것을 신뢰하지 않을 것입니다. 샘플 출력:

$ http --debug -j --verify=/usr/local/etc/openssl/certs/intermediate-authority.pem https://www.testdomain.com/robots.txt
HTTPie 0.9.9
Requests 2.12.3
Pygments 2.1.3
Python 3.6.1 (default, Mar 24 2017, 17:14:46)
[GCC 4.2.1 Compatible Apple LLVM 8.0.0 (clang-800.0.42.1)]
/usr/local/Cellar/httpie/0.9.9/libexec/bin/python3.6
Darwin 16.5.0

<Environment {
    "colors": 256,
    "config": {
        "__meta__": {
            "about": "HTTPie configuration file",
            "help": "https://github.com/jkbrzt/httpie#config",
            "httpie": "0.9.4"
        },
        "default_options": "[]"
    },
    "config_dir": "/Users/username/.httpie",
    "is_windows": false,
    "stderr": "<_io.TextIOWrapper name='<stderr>' mode='w' encoding='UTF-8'>",
    "stderr_isatty": true,
    "stdin": "<_io.TextIOWrapper name='<stdin>' mode='r' encoding='UTF-8'>",
    "stdin_encoding": "UTF-8",
    "stdin_isatty": true,
    "stdout": "<_io.TextIOWrapper name='<stdout>' mode='w' encoding='UTF-8'>",
    "stdout_encoding": "UTF-8",
    "stdout_isatty": true
}>

>>> requests.request(**{
    "allow_redirects": false,
    "auth": "None",
    "cert": "None",
    "data": "",
    "files": {},
    "headers": {
        "Accept": "application/json, */*",
        "Content-Type": "application/json",
        "User-Agent": "HTTPie/0.9.9"
    },
    "method": "get",
    "params": {},
    "proxies": {},
    "stream": true,
    "timeout": 30,
    "url": "https://www.testdomain.com/robots.txt",
    "verify": "/usr/local/etc/openssl/certs/intermediate-authority.pem"
})


http: error: SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:749) while doing GET request to URL: https://www.testdomain.com/robots.txt
Traceback (most recent call last):
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/packages/urllib3/connectionpool.py", line 588, in urlopen
    self._prepare_proxy(conn)
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/packages/urllib3/connectionpool.py", line 801, in _prepare_proxy
    conn.connect()
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/packages/urllib3/connection.py", line 323, in connect
    ssl_context=context)
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/packages/urllib3/util/ssl_.py", line 324, in ssl_wrap_socket
    return context.wrap_socket(sock, server_hostname=server_hostname)
  File "/usr/local/opt/python3/Frameworks/Python.framework/Versions/3.6/lib/python3.6/ssl.py", line 401, in wrap_socket
    _context=self, _session=session)
  File "/usr/local/opt/python3/Frameworks/Python.framework/Versions/3.6/lib/python3.6/ssl.py", line 808, in __init__
    self.do_handshake()
  File "/usr/local/opt/python3/Frameworks/Python.framework/Versions/3.6/lib/python3.6/ssl.py", line 1061, in do_handshake
    self._sslobj.do_handshake()
  File "/usr/local/opt/python3/Frameworks/Python.framework/Versions/3.6/lib/python3.6/ssl.py", line 683, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:749)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/adapters.py", line 423, in send
    timeout=timeout
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/packages/urllib3/connectionpool.py", line 624, in urlopen
    raise SSLError(e)
requests.packages.urllib3.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:749)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/local/bin/http", line 11, in <module>
    load_entry_point('httpie==0.9.9', 'console_scripts', 'http')()
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/httpie/__main__.py", line 11, in main
    sys.exit(main())
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/httpie/core.py", line 227, in main
    log_error=log_error,
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/httpie/core.py", line 99, in program
    final_response = get_response(args, config_dir=env.config.directory)
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/httpie/client.py", line 70, in get_response
    response = requests_session.request(**kwargs)
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/sessions.py", line 488, in request
    resp = self.send(prep, **send_kwargs)
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/sessions.py", line 609, in send
    r = adapter.send(request, **kwargs)
  File "/usr/local/Cellar/httpie/0.9.9/libexec/lib/python3.6/site-packages/requests/adapters.py", line 497, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:749)

--verify=no 를 사용하면 연결이 허용됩니다. 인증서 파일을 변경 없이 PEM 대신 DER 형식으로 변환해 보았습니다.

Httpie는 자체 Python3을 종속성으로 설치한 Homebrew를 통해 설치되었습니다.

출처

sensibleish

가장 유용한 댓글

자체 서명된 인증서를 신뢰하는 것은 권장되지 않습니다. 프로그램이 기본적으로 이를 수락하면 위험합니다. 해커는 자체 서명된 서명을 간단히 삽입하여 그렇지 않은 동안 사용자가 안전하다고 느끼게 할 수 있습니다.

그러나 자체 서명 인증서를 사용하는 문제에 단순히 실패하는 것보다 명확한 메시지로 응답하려면 httpie 를 제안합니다. 테스트 목적으로 검증을 비활성화하기 위해 --verify=no 를 사용하는 것이 좋습니다.

alvis 에 2017년 05월 19일

👎13 👍3

모든 9 댓글

alvis 에 2017년 05월 19일

👎13 👍3

@giskard22

나는 문제 #480에 대한 논의를 완전히 이해하지 못하지만 근본 원인은 이 문제에 대해 동일할 수 있다고 생각합니다. 자체 서명된 인증서를 신뢰하려면 httpie가 필요합니다. 기술적으로 자체 서명된 중간 인증 기관이지만 해당 기관의 실제 서버 인증서 중 하나를 사용하여 동일한 결과를 얻을 수 있습니다.

#480을 보면 이것은 동일한 근본 원인이 아닙니다. 이 경우 HTTPie는 제공한 번들을 사용합니다.

내가 의심하는 것은 실제로 원인은 다음과 같습니다.

"테스트 도메인"은 전체 인증서 체인을 반환하지 않고 리프(체인의 나머지 부분을 동적으로 검색할 수 있는 브라우저에서는 잘 작동함)만 반환하지만 httpie 및 기타 비 브라우저 클라이언트에서는 반환하지 않습니다. 이 경우 --verify 를 통해 체인의 일부 를 제공하지만 여전히 모든 중개자는 아닙니다. 그것들을 모두 하나의 번들에 넣고 대신 제공한다면 이것이 작동한다는 것을 알게 될 것입니다.

자체 서명된 인증서를 신뢰하는 것은 권장되지 않습니다. 프로그램이 기본적으로 이를 수락하면 위험합니다. 해커는 자체 서명된 서명을 간단히 삽입하여 그렇지 않은 동안 사용자가 안전하다고 느끼게 할 수 있습니다.

@alvis 담요 조언은 일반적으로 잘못되었으며 이 경우에는 매우 놀라울 정도로 잘못되었습니다. 자체 서명된 인증서는 문제에 대한 솔루션입니다. 나는 여기서 자체 서명된 인증서를 사용하는 @giskard22 의 사용 사례를 모르고 당신도 모릅니다. 이 경우 귀하의 조언은 @giskard22 에게 거의 쓸모가 없을 뿐만 아니라 이 저장소의 문제로부터 이메일 알림을 받는 나머지 사람들에게도 소음이 됩니다.

자체 서명된 인증서 는 검증 없이 신뢰하는 것이 위험 @giskard22 는 신뢰 체인을 알고 신뢰하는 것으로 보이며 이 사용을 완벽하게 안전합니다. 예, 민감한 정보를 입력해야 할 수도 있는 HTTPS를 사용하는 사이트에서 발생하는 경우 자체 서명된 인증서를 사용하는 것은 바람직

sigmavirus24 에 2017년 05월 28일

예, 여기의 사용 사례는 트래픽을 검사할 수 있도록 HTTPS 중간자(man-in-the-middle)를 수행하는 회사 웹 프록시를 통해 httpie를 사용하는 것입니다. 즉석에서 도메인별 인증서를 생성합니다. ㅋㅋㅋ

프록시가 전체 인증서 체인을 제공하지 못해 어떻게 이 문제가 발생하는지 이해할 수 없습니다. 아마도 OpenSSL의 동작(또는 Python의 동작인가요?)은 MacOS의 기본 제공 메커니즘과 다를 수 있습니다.

프록시를 통한 연결에 대한 신뢰 체인은 다음과 같습니다.

www.testdomain.com에 즉시 인증서 발급
proxy-name이라는 중간 CA 인증서
회사 이름이라는 자체 서명된 루트 CA 인증서

인증서 3을 얻을 수 없습니다. 그러나 인증서 2는 프록시에서 사용할 수 있습니다. 내 키체인으로 가져와 SSL 사용에 대해 신뢰할 수 있는 것으로 표시했습니다. curl과 같은 다른 명령줄 도구를 포함하여 httpie를 제외한 Mac의 모든 것을 만족시키기에 충분했습니다. 관찰된 동작은 검증 메커니즘이 신뢰할 수 있는 인증서를 찾을 때까지 체인을 따른 다음 중지한다는 것입니다. 루트 인증서의 부재는 관련이 없습니다.

초기 보고서에 게시한 httpie 디버그 출력에서 intermediate-authority.pem 에 인증서 2를 저장하고 해당 파일을 --verify . httpie의 경우 충분하지 않으며 인증서 3도 제공해야 한다는 말씀이신가요?

sensibleish 에 2017년 05월 28일

아마도 OpenSSL의 동작(또는 Python의 동작인가요?)은 MacOS의 기본 제공 메커니즘과 다를 수 있습니다.

따라서 OpenSSL은 제공한 번들에서 누락된 항목을 찾습니다. 거기에서 찾을 수 없으면 확인에 실패합니다. 이것은 또한 Python의 행동이기도 합니다. SecureTransport(MacOS의 기본 제공 메커니즘)는 약간 다르게 작동하지만 인증서가 MacOS의 키체인에 있는 경우에만 작동합니다. 또한 MacOS에서 기본 Python에는 Keychain을 사용하는 OpenSSL의 해킹된 버전(더 나은 용어가 없기 때문에)이 있으므로 자체 인증서 번들을 제공하더라도(즉, 신뢰하도록만 지시하는 경우에도 해결할 수 있습니다. 번들 파일에 있는 내용은 "LOL, 하지만 키체인 액세스 권한이 있고 이를 신뢰하므로 YOLO"라고 표시됩니다. 또는 YOVO?(You Only Verify Once... Idk)).

이러한 즉석 인증서에 대한 전체 신뢰 체인이 귀하가 설명한 대로라면 체인에 링크 2와 3 만 포함하는 번들을 보유하는 것으로 벗어날 수 있어야 한다고 생각합니다.

또한 httpie from homebrew 를 MacOS에 설치했다면 OpenSSL , Python 및 virtualenv 의 자작 버전과 함께 설치되었습니다. 이것이 Mac의 해킹된 OpenSSL을 이용할 수 없는 이유입니다.

sigmavirus24 에 2017년 05월 29일

마침내 자체 서명된 루트 인증서를 식별하고 얻을 수 있었습니다. 해당 인증서와 중간 인증서를 모두 .pem 파일에 넣고 해당 파일을 --verify 와 함께 사용하면 더 이상 SSL 오류가 발생하지 않습니다. 이것은 좋다! 제안된 대로 OpenSSL에는 전체 인증서 체인이 필요합니다. SecureTransport와 달리 수동으로 제공하더라도 부분 체인을 허용하지 않습니다.

다음 추가 합병증에 대한 생각이 있습니까? 프록시를 사용하면 사용자 지정 인증서를 삽입하지 않고도 트래픽이 특정 도메인으로 이동할 수 있습니다. 여러 --verify 인수를 사용할 수 없는 것 같습니다. 마지막 사람이 이깁니다. 여러 인증서 번들을 사용하는 방법이 있습니까?

요청 시 OpenSSL에서 제공하는 루트 CA 번들과 사용자 지정 번들을 연결하는 해결 방법이 있지만 이를 방지하기를 바랍니다.

sensibleish 에 2017년 06월 01일

따라서 OpenSSL은 검증을 위해 .pem 파일로 가득 찬 디렉토리 제공을 지원합니다. 즉, Python에서 이에 대한 지원이 부족합니다. 솔직히 Python 3.5 또는 3.6보다 오래된 것은 표준 라이브러리의 디렉토리를 지원한다고 생각하지 않으며 pyOpenSSL이 지원할 것인지 기억나지 않습니다. 요점은 하나의 모든 서비스를 제공하는 .pem 파일 없이는 목표를 달성할 수 없다고 생각한다는 것입니다. 여기서 다른 문제는 HTTPie가 사용하는 HTTP 전송 라이브러리가 버전 및 TLS 라이브러리 구현 전반에 걸쳐 제한된 지원을 제공하는 디렉토리를 완전히 지원하지 않는다는 것입니다.

sigmavirus24 에 2017년 06월 01일

ol' Postman이 구출합니다. 자체 서명된 인증서 감지를 끌 수 있습니다.

PostImpatica 에 2017년 08월 27일

SSL은 훌륭합니다. 아마도 개발자들은 알고 있을 것입니다. 코너 케이스 및 언어 제한 또는 악취로 인해 SSL을 비활성화합니다. 나는 사람들이 일을 끝내고 싶어한다는 것을 압니다. 언제 SSL이 좋다고 말하고 "SSL 확인 비활성화"라고 말할 때 동일한 직감 반응을 보일지 궁금합니다. SSL 확인을 비활성화하면 SSL이 꺼집니다. 하지만 SSL은 좋습니다. 우리 모두 알고 있죠? SSL 검증이 SSL의 전부라는 사실이 혼란스럽거나 상식적인 지식입니까? 우편 배달부가 SSL 확인을 비활성화하는 옵션이 있는 경우 잠재적으로 안전하지 않은 것을 말하는 멋진 방법입니까? curl에는 --insecure 플래그와 동일한 옵션이 있습니다. 문제가 무엇인지 정확히 숨기는 멋진 방법입니까(SSL을 끕니다)? Postman에서 테스트하는 것이 좋다고 생각합니다. Postman이 그 옵션을 가지고 있다는 것을 TIL. 다시 켜볼까? 아니면 모든 현재 및 미래 프로젝트에 대해 SSL을 비활성화했습니까? 커피숍에서 API 키를 보내고 있습니까? :|

언젠가는 https 개발 머신, 자체 서명 인증서 및 기업 CA가 스크립트 가능한 자동 letsencrypt 인증서로 대체되기를 바랍니다. 파이썬이 시스템 키체인/ssl 저장소를 신뢰할 때 http를 덜 유기적으로 만드는 것은 부끄러운 일입니다. 이 부분을 제외하고는 컬 교체입니다. golang에는 이 모든 것에 대한 운영 체제 감지 기능이 있는 것 같습니다. 따라서 go로 작성된 최신 컬 대체(예: bat)는 멋진 출력과 멋진 CLI 환경을 제공하며 사용자 지정 CA 또는 SSL 종료(로드 밸런서)를 처리합니다.

squarism 에 2018년 05월 11일

😕1 🎉1

SSL은 훌륭합니다. 아마도 개발자들은 알고 있을 것입니다. 코너 케이스 및 언어 제한 또는 악취로 인해 SSL을 비활성화합니다. 나는 사람들이 일을 끝내고 싶어한다는 것을 압니다. 언제 SSL이 좋다고 말하고 "SSL 확인 비활성화"라고 말할 때 동일한 직감 반응을 보일지 궁금합니다. SSL 확인을 비활성화하면 SSL이 꺼집니다. 하지만 SSL은 좋습니다. 우리 모두 알고 있죠? SSL 검증이 SSL의 전부라는 사실이 혼란스럽거나 상식적인 지식입니까? 우편 배달부가 SSL 확인을 비활성화하는 옵션이 있는 경우 잠재적으로 안전하지 않은 것을 말하는 멋진 방법입니까? curl에는 --insecure 플래그와 동일한 옵션이 있습니다. 문제가 무엇인지 정확히 숨기는 멋진 방법입니까(SSL을 끕니다)? Postman에서 테스트하는 것이 좋다고 생각합니다. Postman이 그 옵션을 가지고 있다는 것을 TIL. 다시 켜볼까? 아니면 모든 현재 및 미래 프로젝트에 대해 SSL을 비활성화했습니까? 커피숍에서 API 키를 보내고 있습니까? :|
언젠가는 https 개발 머신, 자체 서명 인증서 및 기업 CA가 스크립트 가능한 자동 letsencrypt 인증서로 대체되기를 바랍니다. 파이썬이 시스템 키체인/ssl 저장소를 신뢰할 때 http를 덜 유기적으로 만드는 것은 부끄러운 일입니다. 이 부분을 제외하고는 컬 교체입니다. golang에는 이 모든 것에 대한 운영 체제 감지 기능이 있는 것 같습니다. 따라서 go로 작성된 최신 컬 대체(예: bat)는 멋진 출력과 멋진 CLI 환경을 제공하며 사용자 지정 CA 또는 SSL 종료(로드 밸런서)를 처리합니다.

아니, 좋지 않아. 임시 개발자 인증서가 있더라도 말릴 수 있어야 합니다.

basilmusa 에 2019년 07월 01일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

<p>httpie가 자체 서명된 인증서 신뢰를 거부합니다.</p>

가장 유용한 댓글

모든 9 댓글

관련 문제