為了使用TLS/SSL保護(hù)Python應(yīng)用程序，您必須建立加密和身份驗(yàn)證的網(wǎng)絡(luò)通信。首先，使用SSL模塊包裝插座進(jìn)行加密。其次，始終使用ssl.cert_required驗(yàn)證證書。第三，通過設(shè)置server_hostname啟用服務(wù)器名稱指示（SNI）。第四，生成和保護(hù)私鑰和有效證書。連接到內(nèi)部服務(wù)時(shí)，第五，可信賴的CA證書。第六，避免棄用的協(xié)議和禁用不安全的選項(xiàng)，例如主機(jī)名檢查跳過。

當(dāng)你想要確保您的Python應(yīng)用程序通過網(wǎng)絡(luò)安全地通信，使用TLS/SSL是必不可少的。這不僅僅是在運(yùn)輸中加密數(shù)據(jù) - 還涉及確保您與正確的服務(wù)器交談，而不是在聆聽中間的中間人。

什么是TLS/SSL，為什么您應(yīng)該關(guān)心

TLS（傳輸層安全性）及其前身SSL（安全套接字層）是旨在通過計(jì)算機(jī)網(wǎng)絡(luò)提供安全通信的加密協(xié)議。當(dāng)您在Python中使用它們時(shí)，您實(shí)際上是將網(wǎng)絡(luò)流量包裹在加密層中，這使攻擊者很難竊聽或篡改數(shù)據(jù)。

無論您是編寫連接到API，構(gòu)建Web服務(wù)器還是處理任何敏感數(shù)據(jù)的客戶端。如果沒有TLS/SSL，用戶名，密碼，令牌甚至個(gè)人信息都可以截獲。

設(shè)置基本的安全客戶端連接

Python的ssl模塊可訪問運(yùn)輸層安全性（以前稱為安全套接字層）的加密和網(wǎng)絡(luò)插座的同行身份驗(yàn)證設(shè)施。這是您可以創(chuàng)建從客戶端到服務(wù)器的基本安全連接的方法：

• 使用socket.create_connection()連接到服務(wù)器
• 使用ssl.create_default_context()使用SSL上下文包裝套接字

例子：

導(dǎo)入套接字
導(dǎo)入SSL

context = ssl.create_default_context（）

使用socket.create_connection（（'example.com'，443））作為襪子：
    使用context.wrap_socket（sock，server_hostname ='example.com'）作為ssock：
        打印（ssock.version（））

這將建立與example.com的安全TLS連接。 server_hostname參數(shù)很重要，因?yàn)樗鼏⒂昧嗽S多現(xiàn)代服務(wù)器所需的服務(wù)器名稱指示（SNI）。

要記住的一些事情：

• 始終驗(yàn)證證書（ ssl.CERT_REQUIRED在create_default_context() ）中默認(rèn)為
• 除非有充分的理由，否則請(qǐng)勿禁用主機(jī)名檢查
• 避免使用諸如sslv2或sslv3之類的棄用協(xié)議

創(chuàng)建簡(jiǎn)單的TLS服務(wù)器

如果要設(shè)置服務(wù)器而不是連接到一臺(tái)服務(wù)器，則需要先生成證書和私鑰。對(duì)于測(cè)試，您可以使用OpenSSL創(chuàng)建一個(gè)自簽名的證書：

 OPENSSL REQ -X509 -NEWKEY RSA：4096 -KEYOUT KEY.PEM -OUT CERT.PEM -DAYS 365 -NODES

擁有這些文件后，這是最小的TLS服務(wù)器設(shè)置：

導(dǎo)入套接字
導(dǎo)入SSL

主機(jī)='localhost'
端口= 12345

context = ssl.create_default_context（ssl.purpose.client_auth）
context.load_cert_chain（certfile =“ cert.pem”，keyfile =“ key.pem”）

使用socket.socket（socket.aft.inet，socket.sock_stream）作為襪子：
    sock.bind（（主機(jī)，端口））
    襪子（5）
    打?。ā岸丝诼牎保丝冢?
    連接，addr = sock.accept（）
    使用context.wrap_socket（連接，server_side = true）作為ssl_conn：
        data = ssl_conn.recv（1024）
        打?。ā敖邮眨骸?，data.decode（））

一些重要說明：

• 在創(chuàng)建上下文時(shí)，請(qǐng)使用ssl.Purpose.CLIENT_AUTH如果是服務(wù)器
• 確保您的私鑰安全 - 永遠(yuǎn)不要暴露
• 如果您要公開部署，請(qǐng)獲取真實(shí)證書（例如，讓我們加密）

像專業(yè)人士一樣處理證書

證書處理通常是人們絆倒的地方。這是處理自定義或內(nèi)部CA證書時(shí)該怎么辦：

• 如果通過CA簽署的證書連接到服務(wù)，請(qǐng)將CA證書加載到您的上下文中：

   context.load_verify_locations（cafile =“ my_ca_cert.pem”）

• 如果您遇到證書錯(cuò)誤，請(qǐng)進(jìn)行雙檢查：

  • 主機(jī)名與證書（CN或SAN）匹配
  • 證書尚未過期
  • 信任鏈已經(jīng)完成

另外，除非您要調(diào)試，否則請(qǐng)不要跳過驗(yàn)證。即使那樣，解決證書問題還是要關(guān)閉驗(yàn)證要好。

---

基本上，您需要開始使用TLS/SSL確保Python網(wǎng)絡(luò)代碼的全部?jī)?nèi)容。它不是過于復(fù)雜的，但是有足夠的活動(dòng)部件，您應(yīng)該徹底測(cè)試，并了解每個(gè)部分在將任何東西投入生產(chǎn)之前的作用。

以上是使用Python TLS/SSL構(gòu)建安全的通信渠道的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！