我想连接一个服务,该服务的所有者告诉我我需要连接TLS 1.2。
问题是我的Python使用TLS 1.3
我使用此命令python -c "import requests; print(requests.get('https://www.howsmyssl.com/a/check', verify=False).json()['tls_version'])"
是否可以将TLS降级到1.2?
答案 0 :(得分:1)
好吧
您应该知道ssl或今天称为tls,它是一个“互相同意”的握手过程,首先打开TCP套接字,然后通过此套接字的通信将被隐式加密 或您可以嗅探 ,因为套接字是“包装”的,这是在使用python或其他语言时使用的常规方法 ,我的意思是只是中间类为您甚至都不关心 ,最后,在上述握手过程中,客户端与服务器之间使用的共享加密套件先前已被“同意”。
HTTP只是TCP上的另一个应用程序层,但真正的测试将始终在传输层上,我将在下一行共享我自己的tls / ssl程序测试器,以减轻理论缺陷。
您可以像 python3.x.exe program.py -ip www.whatever.com -puerto 443 一样运行它,但应在此 program.py 旁边放置两个文件, local.crt 和 local.key 文件作为我程序的默认文件,但是您始终可以使用选项 -tls ../location/指定它们。 other.crt ../ location / other.key
local.crt 和 local.key 的原因基本上是握手是密钥交换的过程( local.xxx 文件)和远程服务器文件(在我的下一个测试器示例中),我总是根据这些 local.xxx 文件自定义ssl上下文变量,请注意使用 .load_cert_chain
无论如何,您都可以使用像这样的openssl命令非常容易地生成它们: openssl req -newkey rsa:2048 -new -x509 -nodes -days 3650 -keyout llave.key -out cert.crt -subj“ / C = CO/ST=ANT/L=Medellin/O=YourCompany/OU=YourArea/CN=YourDevice/emailAddress=joseveland@gmail.com“ 或类似于https://www.ssl.com/online-csr-and-key-generator/的网站只是将它们保存在单独的上。您的crt和.key文件 注意::该程序还可以用于测试您想要的任何套接字/页面,并可以将tls版本指定为选项 -version 0 , -version 1 ,-版本2 ,-版本3 强制使用特定的TLS版本,对检测可降级的(不安全的)服务器很有用 概念清楚,如果您已经想通过应用程序层python模块测试TLS,则需要在所需的位置放置或指定先前代码的此自定义 sslCntx (ssl上下文)变量模块,因此可能会有所不同,具体取决于其文档。 我的意思是替换这个... ...具有所需模块的详细信息,例如在 http 模块上,将像这样使用参数“ context” ... 并像 python3.x.exe program.py -ip www.whatever.com -puerto 443 -version 2 一样运行它,因为在此问题上您要求强制使用TLSv1.2 < / p>
另一方面,当不使用 -version 选项时,默认的python参数“ sock_tls_ver = ssl.PROTOCOL_TLS”将为您完成工作,就像它应该尝试在所有tls版本上进行连接一样,因此如果您的远程服务器仅支持TLSv1.2,即使您的python是使用TLSv1.3编译的,它将使用TLSv1.2并按预期进行连接(降级为TLS1.2不会有任何麻烦)。 您可以检查是否支持TLS版本打印布尔值... 希望这有助于在发送任何套接字有价值的数据(例如http请求)之前简化SSL / TLS(只是为了在客户端和服务器之间交换安全性问题)。 多年来,通过SSL将名称更改为TLS并很容易被黑客入侵,这就是为什么我们有这么多版本(因此,互联网并不像您想象的那样安全)import os, platform, socket, ssl
if platform.system().lower() == 'linux': # Linux OS ..
windows = False
slash_principal = '/'
slash_secundario = '\\'
limpiar_pantalla = lambda :os.system('clear')
else: # Windows OS ..
windows = True
slash_principal = '\\'
slash_secundario = '/'
limpiar_pantalla = lambda :os.system('cls')
import argparse, errno
limpiar_pantalla()
filepath = os.path.dirname(os.path.abspath(__file__))
ssl_files_def = [filepath+slash_principal+'local.crt', filepath+slash_principal+'local.key']
parser = argparse.ArgumentParser( description="Probador de TLS")
parser.add_argument( '-ip', nargs=1, metavar='IP', default=['www.google.com'], type=str, help=' IP del socket TCP a probar') # 34.196.130.67 EPSA Pruebas
parser.add_argument( '-puerto', nargs=1, metavar='PUERTO', default=[443], type=int, help=' Puerto del socket TCP a probar')
parser.add_argument( '-version', nargs=1, metavar='TLS_VERSION', type=int, choices=[0,1,2,3], help=' Version TLS a probar si no se especifica se hara AUTO')
parser.add_argument( '-tls', nargs=2, metavar=('CRT', 'KEY'), default=ssl_files_def, type=str, help=' Ruta al archivo ".crt" ..y.. ruta al archivo ".key" locales, para ejecutar el handshake/intercambio TLS con alguien remoto')
parser_opts = parser.parse_args()
#print("Argumentos -->", parser_opts._get_kwargs())
#print()
# ---------------- Logica ---------------- #
sock_pair = ( parser_opts.ip[0], parser_opts.puerto[0] )
sock_tls_ver = ssl.PROTOCOL_TLS # Auto
if parser_opts.version: # Se ingreso en el parse? (!= None) ya que no es obligatoria
if parser_opts.version[0] == 0:
sock_tls_ver = ssl.PROTOCOL_TLSv1
elif parser_opts.version[0] == 1:
sock_tls_ver = ssl.PROTOCOL_TLSv1_1
elif parser_opts.version[0] == 2:
sock_tls_ver = ssl.PROTOCOL_TLSv1_2
#elif parser_opts.version[0] == 3:
# sock_tls_ver = ssl.PROTOCOL_TLSv1_3
sslCntx = ssl.SSLContext(sock_tls_ver) # https://docs.python.org/3/library/ssl.html#ssl.SSLContext
# Con las siguientes opciones se evitan suites SSL inseguras (Al final solo permitira >= TLSv1..)
sslCntx.options |= ssl.OP_NO_SSLv2
sslCntx.options |= ssl.OP_NO_SSLv3
if parser_opts.version: # Se ingreso en el parse? (!= None) ya que no es obligatoria
if parser_opts.version[0] >= 1:
sslCntx.options |= ssl.OP_NO_TLSv1 # Evite la version 0 de TLS al conectar/handshake (version >= v1.1)
if parser_opts.version[0] >= 2:
sslCntx.options |= ssl.OP_NO_TLSv1_1 # Evite la version 1 de TLS al conectar/handshake (version >= v1.2)
if parser_opts.version[0] >= 3:
sslCntx.options |= ssl.OP_NO_TLSv1_2 # Evite la version 2 de TLS al conectar/handshake (version >= v1.3)
sslCntx.load_cert_chain(*ssl_files_def) # Finalmente cargue mis llaves con las que hare el handshake.
print()
print('Versiones SSL (Obsoleto, demostrativo):', int(ssl.PROTOCOL_SSLv23)) # OBSOLETO HACE RATO.
print('Versiones TLS:', int(ssl.PROTOCOL_TLSv1), int(ssl.PROTOCOL_TLSv1_1), int(ssl.PROTOCOL_TLSv1_2))#, ssl.PROTOCOL_TLSv1_3)
print('Mi Contexto:', sslCntx.options, int(sslCntx.minimum_version), int(sslCntx.maximum_version), sslCntx.verify_flags, sslCntx.verify_mode, sslCntx.get_ca_certs())#, sslCntx.get_ciphers(), dir(sslCntx))
print('Remoto:', sock_pair)
print()
s = socket.socket()
s_tls = sslCntx.wrap_socket(s) # Wrap lo convierte en un socket que hara handshake TLS y la comunicacion sera encriptada por ello.
try:
print('Socket Ok:', s_tls.version(), s_tls.session, s_tls.shared_ciphers() )#, dir(s_tls))
print()
s_tls.connect(sock_pair)
print('Conexion Ok:', s_tls.version(), s_tls.session.timeout)
print( s_tls.shared_ciphers() )#, dir(s_tls.session), dir(s_tls))
print()
s_tls.close()
except socket.error as e:
print('Socket FALLO (', os.strerror(e.errno), ')')
except Exception as e:
print('Conexion FALLO:', type(e).__name__, e)
print()
第三
s = socket.socket()
s_tls = sslCntx.wrap_socket(s) # Wrap lo convierte en un socket que hara handshake TLS y la comunicacion sera encriptada por ello.
try:
print('Socket Ok:', s_tls.session, s_tls.version(), s_tls.shared_ciphers(), s_tls )#, dir(s_tls))
print()
s_tls.connect(sock_pair)
print('Conexion Ok:', s_tls.session.timeout, s_tls.version(), s_tls.shared_ciphers(), s_tls )#, dir(s_tls.session), dir(s_tls))
print()
s_tls.close()
from http.client import HTTPSConnection
try:
conn = HTTPSConnection(*sock_pair, context=sslCntx)
print('HTTP Ok:', conn.host, conn.port)#, dir(conn))
print()
conn.request( 'GET', '/' )
ans = conn.getresponse()
print('GET', ans.reason, ':', ans.status)
print(ans.headers)#, dir(ans))
conn.close()
print()
第四
import ssl
print(ssl.HAS_TLSv1)
print(ssl.HAS_TLSv1_1)
print(ssl.HAS_TLSv1_2)
print(ssl.HAS_TLSv1_3)