我面临以下情况: 我被迫使用HTTP代理连接到HTTPS服务器。由于多种原因,我需要访问原始数据(加密前),因此我使用套接字库而不是HTTP特定库之一。 因此,我首先将TCP套接字连接到HTTP代理并发出connect命令。
此时,HTTP代理接受连接,并且似乎将所有其他数据转发到目标服务器。 但是,如果我现在尝试切换到SSL,我会收到
错误:140770FC:SSL例程:SSL23_GET_SERVER_HELLO:未知协议
表示套接字尝试与HTTP代理握手,而不是与HTTPS目标握手。
这是我到目前为止的代码: 导入套接字
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('proxy',9502))
s.send("""CONNECT en.wikipedia.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:15.0) Gecko/20100101 Firefox/15.0.1
Proxy-Connection: keep-alive
Host: en.wikipedia.org
""")
print s.recv(1000)
ssl = socket.ssl(s, None, None)
ssl.connect(("en.wikipedia.org",443))
连接到HTTP代理后,打开SSL套接字到目标服务器的正确方法是什么?
答案 0 :(得分:1)
(请注意,通常,使用现有的HTTPS库(如PyCurl)会更容易,而不是自己实现它。)
首先,不要调用变量ssl。该名称已被ssl模块使用,因此您不想隐藏它。
其次,请勿再次使用connect。你已经连接好了,你需要的是封装插座。由于Python默认情况下不进行任何证书验证,因此您还需要验证远程证书并验证主机名。
以下是涉及的步骤:
CONNECT,就像您在前几行中所做的那样。ssl_s = ssl.wrap_socket(s, cert_reqs=ssl.CERT_REQUIRED, ssl_version=ssl.PROTOCOL_TLS1, ca_certs='/path/to/cabundle.pem')包装套接字。然后,验证主机名。值得阅读this answer:connect方法及其在包装套接字后的作用。ssl_s,就像它是正常的套接字一样。请勿再次致电connect。答案 1 :(得分:0)
适用于 python 3
< 端口 > 443 或 80 或您的代理正在侦听的任何内容
< cn > 是您的最终服务器可能需要的可选 sni 字段
import socket,ssl
def getcert_sni_proxy(cn,endpoint,PROXY_ADDR=("<proxy>", <port>)):
#prepare the connect phrase
CONNECT = "CONNECT %s:%s HTTP/1.0\r\nConnection: close\r\n\r\n" % (endpoint, 443)
#connect to the actual proxy
conn = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
conn.connect(PROXY_ADDR)
conn.send(str.encode(CONNECT))
conn.recv(4096)
#set the cipher for the ssl layer
context = ssl.SSLContext(ssl.PROTOCOL_SSLv23)
#connect to the final endpoint via the proxy, sending an optional servername information [cn here]
sock = context.wrap_socket(conn, server_hostname=cn)
#retreive certificate from the server
certificate = ssl.DER_cert_to_PEM_cert(sock.getpeercert(True))
return certificate