Wie man das SSL-Zertifikat mit der Python-Bibliothek „requests“ überprüft

Die Python-Bibliothek „requests“ wird weit verbreitet für die Nutzung von Web-APIs und HTTP-Kommunikation verwendet. Um jedoch eine sichere Kommunikation zu gewährleisten, ist die Verschlüsselung mit dem SSL/TLS-Protokoll entscheidend. Die requests-Bibliothek überprüft standardmäßig SSL-Zertifikate, aber je nach Umgebung können Fehler auftreten. Um Zertifikatsfehler korrekt zu behandeln und die Sicherheit der Kommunikation zu gewährleisten, ist es unerlässlich, das System der SSL-Zertifikatsprüfung zu verstehen und richtig zu konfigurieren. In diesem Artikel erklären wir, wie man das SSL-Zertifikat mit der requests-Bibliothek überprüft und häufige Fehler behebt.

Grundlagen der SSL-Zertifikatsprüfung

SSL (Secure Sockets Layer) Zertifikate verschlüsseln die Kommunikation zwischen einem Web-Server und einem Client, um Abhören und Manipulationen durch Dritte zu verhindern. Heute ist TLS (Transport Layer Security), der Nachfolger von SSL, der Standard, aber der Begriff „SSL-Zertifikat“ wird weiterhin verwendet.

Wie SSL-Zertifikate funktionieren

Ein SSL-Zertifikat wird vom Betreiber einer Webseite von einer Zertifizierungsstelle (CA) erworben und beweist, dass die Seite vertrauenswürdig ist. Wenn Browser oder HTTP-Clients eine SSL/TLS-Verbindung aufbauen, überprüfen sie das Zertifikat und stellen sicher, dass:

1. Der Aussteller des Zertifikats eine vertrauenswürdige CA ist.
2. Der Domainname des Zertifikats mit der angeforderten URL übereinstimmt.
3. Das Zertifikat nicht abgelaufen ist.

Bedeutung der Zertifikatsprüfung

Durch die Überprüfung des SSL-Zertifikats können folgende Sicherheitsrisiken vermieden werden:

• Phishing-Angriffe: Verhindert, dass ein gefälschter Server die Daten des Benutzers stiehlt.
• Man-in-the-Middle-Angriffe (MITM): Reduziert das Risiko, dass die Kommunikation abgehört oder manipuliert wird.

Die korrekte Überprüfung des Zertifikats ist entscheidend für eine sichere Kommunikation. Die requests-Bibliothek ist standardmäßig so konzipiert, dass sie SSL-Zertifikate überprüft.

Grundlegende SSL-Überprüfungseinstellungen der requests-Bibliothek

Die requests-Bibliothek verfügt über eine Funktion zur automatischen Überprüfung von SSL-Zertifikaten. Dies stellt sicher, dass nur mit vertrauenswürdigen Websites eine Verbindung hergestellt wird.

Die Rolle des Parameters `verify`

Mit dem Parameter verify in der requests-Bibliothek kann die SSL-Zertifikatsprüfung gesteuert werden. Dieser Parameter kann auf zwei verschiedene Werte gesetzt werden:

1. True (Standard): Aktiviert die Zertifikatsprüfung.
2. False: Deaktiviert die Zertifikatsprüfung (nicht empfohlen).

Das Standardverhalten ist verify=True, was bedeutet, dass die Bibliothek eine vertrauenswürdige CA-Liste verwendet, um das Zertifikat zu überprüfen.

Beispiel für die grundlegende Verwendung

Nachfolgend ein Beispiel, wie der Parameter verify verwendet wird:

import requests

# SSL-Zertifikat überprüfen und HTTPS-Anfrage senden
response = requests.get('https://example.com', verify=True)
print(response.status_code)

Zertifikatsprüfung deaktivieren

Falls aus Test- oder Debugging-Gründen die Zertifikatsprüfung deaktiviert werden soll, kann dies wie folgt konfiguriert werden:

import requests

# SSL-Zertifikat nicht überprüfen (nicht empfohlen)
response = requests.get('https://example.com', verify=False)
print(response.status_code)

In diesem Fall gibt Python eine Warnung aus. Diese kann unterdrückt werden, aber in einer Produktionsumgebung sollte dies auf keinen Fall gemacht werden.

import requests
from requests.packages.urllib3.exceptions import InsecureRequestWarning

# Warnungen unterdrücken
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

# SSL-Prüfung deaktivieren und Anfrage senden
response = requests.get('https://example.com', verify=False)
print(response.status_code)

Wichtige Hinweise

Die Deaktivierung der Zertifikatsprüfung erhöht das Sicherheitsrisiko. Sie könnte dazu führen, dass eine Verbindung zu einem bösartigen Server hergestellt wird oder ein Man-in-the-Middle-Angriff (MITM) erfolgt. Daher sollte verify=False nur in Testumgebungen oder unter bestimmten Bedingungen verwendet werden.

Deaktivierung der SSL-Zertifikatsprüfung und deren Risiken

Das Deaktivieren der SSL-Zertifikatsprüfung kann helfen, Kommunikationsfehler zu umgehen, aber es birgt erhebliche Sicherheitsrisiken. In der requests-Bibliothek kann die Prüfung mit verify=False übersprungen werden, aber dies wird für Produktionsumgebungen nicht empfohlen.

Zertifikatsprüfung deaktivieren

Um die Zertifikatsprüfung zu deaktivieren, setzen Sie den Parameter verify=False.

import requests

# SSL-Prüfung deaktivieren
response = requests.get('https://example.com', verify=False)
print(response.text)

Diese Einstellung überspringt die Überprüfung der Gültigkeit des Zertifikats.

Risiken der Deaktivierung der Zertifikatsprüfung

1. Verletzlichkeit gegenüber Man-in-the-Middle-Angriffen (MITM)
   Durch das Deaktivieren der Prüfung kann eine Verbindung zu Servern ohne Vertrauenswürdigkeit hergestellt werden. Ein Angreifer könnte die Kommunikation abfangen und Daten verändern oder stehlen.
2. Verbindung zu gefälschten Servern
   Wenn ein böswilliger Dritter einen legitimen Server nachahmt, wird die Verbindung auch ohne Zertifikatsprüfung akzeptiert. Dies kann zu einem Leck wichtiger Informationen führen.
3. Ausnutzung von Schwachstellen
   Die Ignorierung des SSL/TLS-Protokolls erhöht die Wahrscheinlichkeit, mit älteren Verschlüsselungsmethoden oder unsicheren Servern zu kommunizieren.

Weitere Risiken durch das Ignorieren von Warnungen

Warnungen, die bei der Verwendung von requests ausgegeben werden, sollen auf potenzielle Risiken hinweisen. Das Unterdrücken dieser Warnungen mit urllib3.disable_warnings kann dazu führen, dass sicherheitsrelevante Probleme übersehen werden.

# Unterdrückung der nicht empfohlenen Warnung
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

Empfohlene Vorgehensweisen

Statt die Zertifikatsprüfung zu deaktivieren, sollten folgende Ansätze zur Lösung von Problemen in Betracht gezogen werden:

• Installation eines vertrauenswürdigen CA-Zertifikats: Stellen Sie sicher, dass das Serverzertifikat korrekt ausgestellt wurde.
• Festlegung eines benutzerdefinierten Zertifikats: Geben Sie ein spezifisches CA-Zertifikat für den Parameter verify an (wird im nächsten Abschnitt erläutert).
• Überprüfung der Serverkonfiguration: Überprüfen Sie, ob der Server das richtige SSL-Zertifikat verwendet.

Das Deaktivieren der Zertifikatsprüfung sollte auf das Troubleshooting oder vorübergehende Debugging beschränkt bleiben. Sicherstellen, dass stets eine sichere Verbindung verwendet wird.

Verwendung eines benutzerdefinierten Zertifikats zur SSL-Überprüfung

In einigen Fällen müssen Sie sich mit Servern verbinden, die ein von einer eigenen Zertifizierungsstelle (CA) ausgestelltes SSL-Zertifikat verwenden. In solchen Fällen können Sie den Parameter verify von requests verwenden, um die SSL-Zertifikatsprüfung mit einer benutzerdefinierten Zertifikatsdatei durchzuführen.

Vorbereitung eines benutzerdefinierten CA-Zertifikats

Um ein benutzerdefiniertes CA-Zertifikat zu verwenden, müssen Sie dieses Zertifikat (in der Regel im .pem-Format) zunächst beschaffen und lokal speichern. Nehmen wir an, Sie haben eine Datei namens my_ca_cert.pem.

Verwendung eines benutzerdefinierten Zertifikats

In der requests-Bibliothek können Sie den Pfad zur Zertifikatsdatei wie folgt angeben:

import requests

# Anfrage mit benutzerdefiniertem CA-Zertifikat
response = requests.get('https://example.com', verify='path/to/my_ca_cert.pem')
print(response.status_code)

Diese Einstellung führt dazu, dass das angegebene CA-Zertifikat verwendet wird, um das Serverzertifikat zu überprüfen.

Wichtige Hinweise zur Zertifikatskette

Wenn Ihr benutzerdefiniertes CA-Zertifikat ein Zwischenzertifikat benötigt, stellen Sie sicher, dass die Zertifikatskette korrekt konfiguriert ist. Wenn Sie das Zwischenzertifikat in my_ca_cert.pem einfügen, wird die Überprüfung mit höherer Wahrscheinlichkeit erfolgreich sein.

Beispiel für eine erfolgreiche Zertifikatsprüfung

Nachfolgend ein Beispiel, wie man HTTPS-Anfragen mit einem benutzerdefinierten Zertifikat sendet, wenn die Zertifikatsprüfung erfolgreich ist.

# Zertifikat korrekt
response = requests.get('https://securedomain.com', verify='my_ca_cert.pem')
if response.ok:
    print("Verbindung erfolgreich!")
else:
    print("Verbindung fehlgeschlagen. Statuscode:", response.status_code)

Fehlerbehebung, wenn das benutzerdefinierte Zertifikat nicht erkannt wird

1. Überprüfung des Zertifikatsformats
   Stellen Sie sicher, dass das Zertifikat im PEM-Format kodiert ist. Wenn das Format abweicht, können Sie es mit OpenSSL konvertieren.

   openssl x509 -in my_ca_cert.crt -out my_ca_cert.pem -outform PEM

2. Überprüfung des Zertifikatspfades
   Stellen Sie sicher, dass der angegebene Dateipfad korrekt ist.
3. Integrieren der Zertifikatskette
   Wenn ein Zwischenzertifikat erforderlich ist, integrieren Sie es in das Haupt-CA-Zertifikat.

   cat intermediate_cert.pem >> my_ca_cert.pem

Verwendung des Zertifikats im gesamten System

Wenn Sie regelmäßig ein benutzerdefiniertes Zertifikat verwenden müssen, sollten Sie erwägen, es zum Standard-CA-Zertifikatspeicher des Systems hinzuz ufügen. Dies hilft, sichere Verbindungen zu gewährleisten und den Code übersichtlicher zu halten.

sudo cp my_ca_cert.pem /usr/local/share/ca-certificates/
sudo update-ca-certificates

Empfohlene Vorgehensweisen

Auch wenn Sie ein benutzerdefiniertes Zertifikat verwenden, stellen Sie sicher, dass Sie dessen Vertrauenswürdigkeit überprüfen. Durch die Verwendung eines ordnungsgemäß verwalteten Zertifikats können Sie eine sichere Kommunikation gewährleisten.

Behebung von Zertifikatsfehlern

Beim Überprüfen von SSL-Zertifikaten mit der requests-Bibliothek können Zertifikatsfehler auftreten. Diese Fehler können durch fehlende Zertifikate oder Systemumgebungsprobleme verursacht werden. In diesem Abschnitt werden häufige Zertifikatsfehler und deren Lösungen erläutert.

Häufige Fehler und deren Ursachen

1. Zertifikat nicht vertrauenswürdig (Certificate verify failed)
   Dieser Fehler tritt auf, wenn das Serverzertifikat nicht von einer Zertifizierungsstelle (CA) signiert wurde oder wenn das CA-Zertifikat nicht im vertrauenswürdigen Speicher des Systems vorhanden ist.
   Ausnahme:

   requests.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED]

2. Zertifikat abgelaufen (Expired certificate)
   Dieser Fehler tritt auf, wenn das Serverzertifikat abgelaufen ist.
3. Domainname stimmt nicht überein (Hostname mismatch)
   Dieser Fehler tritt auf, wenn der Domainname des Zertifikats (Common Name oder SAN) nicht mit dem angeforderten URL-Domainnamen übereinstimmt.
4. Fehlendes Zwischenzertifikat (Incomplete certificate chain)
   Dieser Fehler tritt auf, wenn das Serverzertifikat nicht mit dem erforderlichen Zwischenzertifikat geliefert wird.

Lösungen für Fehler

1. Hinzufügen eines CA-Zertifikats

Wenn der Fehler durch ein nicht vertrauenswürdiges Zertifikat verursacht wird, stellen Sie ein benutzerdefiniertes CA-Zertifikat bereit und geben Sie es im verify Parameter an.

import requests

# Verwenden eines benutzerdefinierten CA-Zertifikats
response = requests.get('https://example.com', verify='path/to/ca_cert.pem')
print(response.status_code)

2. Aktualisieren des CA-Zertifikatspeichers des Systems

Fehler aufgrund eines veralteten Zertifikatsspeichers können durch die Aktualisierung des Systems behoben werden. Verwenden Sie dazu folgende Befehle:

• Debian/Ubuntu

  sudo apt update
  sudo apt install --reinstall ca-certificates

  security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain path/to/ca_cert.pem

3. Überprüfen des Serverzertifikats


Wenn das Serverzertifikat abgelaufen ist oder der Domainname nicht übereinstimmt, wenden Sie sich an den Serveradministrator, um das Zertifikat zu aktualisieren oder zu korrigieren. Mit dem openssl Befehl können Sie das Zertifikat überprüfen.

openssl s_client -connect example.com:443 -showcerts

4. Integrieren von Zwischenzertifikaten


Wenn ein Zwischenzertifikat fehlt, fügen Sie es in die Zertifikatskette ein.

cat intermediate_cert.pem >> server_cert.pem

5. Temporäre Lösung (nicht empfohlen)


Wenn Sie die Zertifikatsfehler unbedingt umgehen möchten, können Sie verify=False verwenden, um die Prüfung zu deaktivieren. In einer Produktionsumgebung sollte dies jedoch vermieden werden.

response = requests.get('https://example.com', verify=False)

Best Practices zur Fehlerbehebung

• Aktualisieren Sie regelmäßig den CA-Zertifikatspeicher des Systems.
• Überprüfen Sie, dass das Serverzertifikat korrekt konfiguriert ist.
• Verwenden Sie gegebenenfalls ein benutzerdefiniertes CA-Zertifikat und stellen Sie sichere Verbindungen sicher.

Mit diesen Methoden können SSL-Zertifikatsfehler effektiv behoben und eine sichere Kommunikation gewährleistet werden.

Verwendung von externen Tools zur Zertifikatsprüfung

Um Probleme mit SSL-Zertifikaten zu beheben, müssen Sie die Details des Zertifikats überprüfen und die Ursache des Problems feststellen. Die Verwendung von externen Tools zur Zertifikatsprüfung ist äußerst hilfreich. In diesem Abschnitt erläutern wir Tools, die bei der Zertifikatsprüfung hilfreich sind.

Verwendung von OpenSSL zur Zertifikatsprüfung

OpenSSL ist ein weit verbreitetes Tool für die Verwaltung von SSL/TLS-Kommunikation und Zertifikaten. Es kann verwendet werden, um Serverzertifikate zu erhalten und Probleme zu überprüfen.

Abrufen des Serverzertifikats


Verwenden Sie den folgenden Befehl, um das Serverzertifikat zu erhalten und die Details anzuzeigen:

openssl s_client -connect example.com:443 -showcerts

Beispiel-Ausgabe:

Certificate chain
 0 s:/CN=example.com
   i:/CN=Example CA
---
Server certificate
-----BEGIN CERTIFICATE-----
（Zertifikatsdaten）
-----END CERTIFICATE-----

Überprüfung des Zertifikatsablaufs


Verwenden Sie den folgenden Befehl, um das Ablaufdatum des Zertifikats zu überprüfen:

openssl x509 -in server_cert.pem -noout -dates

Beispiel-Ausgabe:

notBefore=Nov  1 00:00:00 2023 GMT
notAfter=Oct 31 23:59:59 2024 GMT

Verwendung von certifi zur Überprüfung des CA-Zertifikats

Die Python-requests-Bibliothek verwendet standardmäßig das certifi-Paket, um vertrauenswürdige CA-Zertifikate zu verwalten. Mit certifi können Sie die aktuelle Liste der CA-Zertifikate einsehen.

Installation von certifi


Falls certifi noch nicht installiert ist, können Sie es mit dem folgenden Befehl installieren:

pip install certifi

Überprüfung des Zertifikatspfades mit certifi


Verwenden Sie den folgenden Code, um den Pfad zum aktuellen CA-Zertifikat zu überprüfen:

import certifi

# Anzeige des CA-Zertifikatspfads
print(certifi.where())

Beispiel-Ausgabe:

/path/to/python/site-packages/certifi/cacert.pem

Zertifikatsprüfung mit dem Browser

Es ist auch möglich, SSL-Zertifikate direkt im Browser zu überprüfen. In Chrome und Firefox folgen Sie diesen Schritten.

1. Website aufrufen: Besuchen Sie die betreffende Seite (z. B. https://example.com).
2. Zertifikatsinformationen anzeigen:
• Chrome: Klicken Sie auf das Schloss-Symbol in der Adressleiste und wählen Sie „Weitere Informationen“.
• Firefox: Klicken Sie auf das Schloss-Symbol und wählen Sie „Verbindungsdetails“.
1. Zertifikatsdetails überprüfen: Überprüfen Sie den Aussteller, die Ziel-Domain und das Ablaufdatum.

Wichtige Punkte bei der Prüfung

• Übereinstimmung des Domainnamens: Überprüfen Sie, ob der CN oder SAN des Zertifikats mit dem Domainnamen der angeforderten URL übereinstimmt.
• Existenz von Zwischenzertifikaten: Stellen Sie sicher, dass alle erforderlichen Zwischenzertifikate in der Zertifikatskette enthalten sind.
• Ablaufdatum: Überprüfen Sie, ob das Zertifikat noch gültig ist.

Auswahl des richtigen Tools

• Verwenden Sie OpenSSL, wenn Sie Zertifikate direkt vom Server abrufen möchten.
• Verwenden Sie certifi, um die vertrauenswürdige CA-Liste in der requests-Bibliothek zu überprüfen.
• Verwenden Sie den Browser, wenn Sie Zertifikatsinformationen visuell überprüfen möchten.

Mit diesen Tools können Sie Zertifikatsprobleme identifizieren und wichtige Informationen effizient abrufen, um eine sichere Kommunikationsumgebung aufrechtzuerhalten.

Beispiel für SSL-Überprüfungscode mit requests

Im Folgenden zeigen wir Beispiele für die Verwendung der requests-Bibliothek zur SSL-Zertifikatsprüfung. Angefangen bei den grundlegenden Methoden bis hin zu benutzerdefinierten Zertifikaten.

Grundlegendes Beispiel zur SSL-Überprüfung

Die requests-Bibliothek überprüft standardmäßig SSL-Zertifikate. Hier ein Beispiel für eine HTTPS-Anfrage, bei der das Zertifikat überprüft wird.

import requests

# Anfrage, bei der das Zertifikat überprüft wird
url = 'https://www.google.com'
response = requests.get(url)

print(f"Statuscode: {response.status_code}")
print(f"Antwort-Header: {response.headers}")

Wenn die Zertifikatsprüfung erfolgreich ist, werden der HTTP-Statuscode und die Antwortheader angezeigt.

Beispiel für einen SSL-Zertifikatsfehler

Wenn die Zertifikatsprüfung fehlschlägt, wird ein requests.exceptions.SSLError ausgelöst. Das folgende Beispiel zeigt, wie ein Fehler auftritt, wenn ein selbstsigniertes Zertifikat verwendet wird.

url = 'https://self-signed.badssl.com'

try:
    response = requests.get(url)
except requests.exceptions.SSLError as e:
    print(f"SSL-Fehler: {e}")

In diesem Fall wird ein Fehler aufgrund eines von einer nicht vertrauenswürdigen CA ausgestellten Zertifikats auftreten.

Beispiel für die Verwendung eines benutzerdefinierten CA-Zertifikats

Das folgende Beispiel zeigt, wie ein benutzerdefiniertes CA-Zertifikat zur Zertifikatsprüfung verwendet wird.

url = 'https://example.com'
ca_cert_path = '/path/to/your/ca_cert.pem'

# Anfrage mit benutzerdefiniertem Zertifikat
response = requests.get(url, verify=ca_cert_path)

print(f"Statuscode: {response.status_code}")
print(f"Antworttext: {response.text}")

In diesem Beispiel wird der verify Parameter mit dem Pfad zum benutzerdefinierten Zertifikat angegeben.

Beispiel für die Deaktivierung der SSL-Überprüfung (nicht empfohlen)

Dieses Beispiel zeigt, wie man die SSL-Überprüfung deaktiviert und eine Anfrage ohne Zertifikatsprüfung sendet. Diese Methode ist nur für Testumgebungen geeignet.

url = 'https://self-signed.badssl.com'

# SSL-Überprüfung deaktivieren und Anfrage senden
response = requests.get(url, verify=False)

print(f"Statuscode: {response.status_code}")
print(f"Antworttext: {response.text}")

In diesem Fall wird die SSL-Prüfung deaktiviert, und Python gibt eine Warnung aus.

Beispiel für die Aktivierung detaillierter Protokolle zur Zertifikatsprüfung

Beim Debuggen von Zertifikatsproblemen kann das Aktivieren detaillierter Protokolle nützliche Informationen liefern.

import requests
import logging

# Protokollierung aktivieren
logging.basicConfig(level=logging.DEBUG)

url = 'https://www.google.com'
response = requests.get(url)

print(f"Statuscode: {response.status_code}")

In den Protokollen werden Informationen zum TLS-Handschlag und den Zertifikatsdetails angezeigt.

Zusammengefasstes Beispiel: Funktion zur Behandlung mehrerer Fälle

Ein Beispiel für eine generische Funktion, die erfolgreiche und fehlgeschlagene SSL-Überprüfungen behandelt.

def fetch_url(url, ca_cert=None, disable_ssl=False):
    try:
        if disable_ssl:
            response = requests.get(url, verify=False)
        elif ca_cert:
            response = requests.get(url, verify=ca_cert)
        else:
            response = requests.get(url)
        return response.text
    except requests.exceptions.SSLError as e:
        return f"SSL-Fehler: {e}"
    except Exception as e:
        return f"Sonstiger Fehler: {e}"

# Verwendung
print(fetch_url('https://example.com', ca_cert='/path/to/ca_cert.pem'))
print(fetch_url('https://self-signed.badssl.com', disable_ssl=True))

Mit dieser Funktion können Sie den verify Parameter flexibel anpassen, um die Standardprüfung, benutzerdefinierte Zertifikate oder das Deaktivieren der Prüfung zu handhaben.

Überprüfung der Ausführungsergebnisse

Führen Sie den Code aus und stellen Sie sicher, dass:

• Die Kommunikation erfolgreich ist.
• Der Statuscode und die Antwortdaten korrekt sind.
• Im Fehlerfall detaillierte Informationen abgerufen werden können.

Diese Beispiele helfen Ihnen, sich auf verschiedene Szenarien der SSL-Zertifikatsprüfung vorzubereiten.

Fortgeschrittene Beispiele: SSL-Zertifikatsprüfung in der API-Kommunikation

In der API-Kommunikation ist die ordnungsgemäße Überprüfung von SSL-Zertifikaten besonders wichtig. Verhindern Sie Verbindungen zu unsicheren Servern und sorgen Sie dafür, dass Daten sicher übertragen werden. In diesem Abschnitt zeigen wir Beispiele für SSL-Überprüfungen in der API-Kommunikation.

SSL-Überprüfung bei API-Kommunikation mit Authentifizierung

Viele APIs erfordern eine Authentifizierung mit Tokens oder API-Schlüsseln. Hier ist ein Beispiel, wie SSL-Überprüfung aktiviert und die Anfrage mit den richtigen Headern gesendet wird.

import requests

api_url = 'https://api.example.com/data'
api_key = 'your_api_key_here'

headers = {
    'Authorization

': f'Bearer {api_key}',
    'Content-Type': 'application/json'
}

# HTTPS-Anfrage senden
response = requests.get(api_url, headers=headers)

if response.status_code == 200:
    print("Daten abgerufen:", response.json())
else:
    print(f"Fehler: {response.status_code}, Details: {response.text}")

In diesem Code wird während der API-Kommunikation das SSL-Zertifikat überprüft, um eine sichere Verbindung sicherzustellen.

Verwendung eines benutzerdefinierten Zertifikats für interne API-Kommunikation

Für interne Systeme oder private APIs wird möglicherweise ein benutzerdefiniertes CA-Zertifikat verwendet. In solchen Fällen geben Sie das benutzerdefinierte Zertifikat an, um die Anfrage zu senden.

api_url = 'https://internal-api.example.com/data'
ca_cert_path = '/path/to/internal_ca_cert.pem'

# Benutzerdefiniertes Zertifikat verwenden
response = requests.get(api_url, verify=ca_cert_path)

if response.status_code == 200:
    print("Interne API-Kommunikation erfolgreich:", response.json())
else:
    print(f"Fehler: {response.status_code}, Details: {response.text}")

SSL-Überprüfung deaktivieren für Testkommunikation

In der Entwicklungsumgebung kann es erforderlich sein, ein selbstsigniertes Zertifikat zu verwenden. In solchen Fällen kann die SSL-Überprüfung deaktiviert werden. Diese Methode ist jedoch nur für Testumgebungen geeignet.

api_url = 'https://dev-api.example.com/data'

# SSL-Überprüfung deaktivieren und Anfrage senden
response = requests.get(api_url, verify=False)

if response.status_code == 200:
    print("Testkommunikation erfolgreich:", response.json())
else:
    print(f"Fehler: {response.status_code}, Details: {response.text}")

Best Practices zur Sicherheitserhöhung

Folgende Best Practices sollten bei der sicheren SSL-Überprüfung in API-Kommunikation beachtet werden:

1. SSL-Überprüfung immer aktivieren


Vermeiden Sie die Verwendung von verify=False in produktiven Umgebungen. Dadurch wird verhindert, dass Verbindungen zu unsicheren Servern hergestellt werden.

2. Regelmäßig das Ablaufdatum der Zertifikate überprüfen


Überwachen Sie das Ablaufdatum von Zertifikaten, um sicherzustellen, dass sie nicht abgelaufen sind.

openssl x509 -in /path/to/certificate.pem -noout -dates

3. Fehlerbehandlung implementieren


Implementieren Sie eine Ausnahmebehandlung, um detaillierte Fehlerinformationen im Fall eines SSL-Fehlers zu protokollieren.

try:
    response = requests.get(api_url, verify=True)
    response.raise_for_status()
except requests.exceptions.SSLError as e:
    print(f"SSL-Fehler: {e}")
except requests.exceptions.RequestException as e:
    print(f"Kommunikationsfehler: {e}")

4. Verwendung von Client-Zertifikaten


Für APIs, die eine Client-Authentifizierung erfordern, konfigurieren Sie das Client-Zertifikat.

api_url = 'https://secure-api.example.com/data'
client_cert = '/path/to/client_cert.pem'
client_key = '/path/to/client_key.pem'

response = requests.get(api_url, cert=(client_cert, client_key), verify=True)

if response.status_code == 200:
    print("Client-Authentifizierung erfolgreich:", response.json())
else:
    print(f"Fehler: {response.status_code}, Details: {response.text}")

Zusammenfassung

• Richtige SSL-Überprüfungseinstellungen: Stellen Sie sicher, dass Sie den verify Parameter verwenden, um sichere Verbindungen zu gewährleisten.
• Umfassende Fehlerbehandlung: Protokollieren Sie Fehler detailliert, um Probleme zu identifizieren und zu beheben.
• Verwendung von benutzerdefinierten Zertifikaten: Verwenden Sie benutzerdefinierte CA-Zertifikate oder Client-Zertifikate für sichere interne API-Kommunikation.

Mit diesen Methoden können Sie SSL-Zertifikatsprüfungen effektiv und sicher durchführen.

Zusammenfassung

Dieser Artikel erläuterte, wie man das SSL-Zertifikat mit der Python-Bibliothek „requests“ überprüft. SSL-Zertifikate spielen eine entscheidende Rolle bei der Sicherstellung der Kommunikationssicherheit. Wir behandelten grundlegende Einstellungen, die Verwendung benutzerdefinierter Zertifikate, Lösungen für häufige Fehler und Beispiele aus der API-Kommunikation.

Die wichtigsten Punkte zur Aufrechterhaltung einer sicheren Kommunikation sind:

• Verwenden Sie die Standard-SSL-Zertifikatsprüfung, um eine sichere Kommunikation zu gewährleisten.
• Geben Sie benutzerdefinierte CA-Zertifikate korrekt an, um interne API-Kommunikation sicher zu gestalten.
• Deaktivieren Sie die SSL-Überprüfung nur in Testumgebungen und aktivieren Sie sie immer in der Produktionsumgebung.

Nutzen Sie dieses Wissen, um sicherere und vertrauenswürdige HTTP-Kommunikation zu gewährleisten.