Получить сертификат клиента SSL из объекта сокета после неудачной проверки сертификата

У меня есть сервер сокетов, написанный на Python, принимающий такие соединения, как:

self.socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

# set the socket as non-blocking
self.socket.setblocking(False)

# bind
self.socket.bind((self.host, int(self.port)))

# listen
self.socket.listen()

В отдельной асинхронной функции я вызываю:

conn, address = await self.loop.sock_accept(self.socket)

Как только соединение установлено, оно передается:

loop.connect_accepted_socket(lambda: <custom asyncio.Protocol class>, ssl=ssl_context)

Когда соединение не удается установить, ошибка обнаруживается в следующем разделе:

except ssl.SSLError as e:
   print(e)

Где e может быть диапазон ошибок SSL.

Некоторые из них:

  1. [SSL: WRONG_VERSION_NUMBER]
  2. [SSL: SSLV3_ALERT_BAD_CERTIFICATE] предупреждение sslv3 о плохом сертификате (_ssl.c:1091)

В таких сценариях я бы хотел иметь возможность распечатать сертификат, который мы получили от клиента.

Есть ли способ сделать это?

Я попытался напечатать conn.getpeercert() в обработчике исключений, однако получаю сообщение об ошибке:

AttributeError: объект «сокет» не имеет атрибута «getpeercert»

Принимая во внимание, что если соединение окажется успешным, я смогу получить сертификаты однорангового узла из транспортного объекта, вызвав:

transport.get_extra_info("peercert")

Я хотел бы знать, есть ли способ распечатать сертификат, полученный от клиента в случае неудачной проверки.

Почему в Python есть оператор "pass"?
Почему в Python есть оператор "pass"?
Оператор pass в Python - это простая концепция, которую могут быстро освоить даже новички без опыта программирования.
Некоторые методы, о которых вы не знали, что они существуют в Python
Некоторые методы, о которых вы не знали, что они существуют в Python
Python - самый известный и самый простой в изучении язык в наши дни. Имея широкий спектр применения в области машинного обучения, Data Science,...
Основы Python Часть I
Основы Python Часть I
Вы когда-нибудь задумывались, почему в программах на Python вы видите приведенный ниже код?
LeetCode - 1579. Удаление максимального числа ребер для сохранения полной проходимости графа
LeetCode - 1579. Удаление максимального числа ребер для сохранения полной проходимости графа
Алиса и Боб имеют неориентированный граф из n узлов и трех типов ребер:
Оптимизация кода с помощью тернарного оператора Python
Оптимизация кода с помощью тернарного оператора Python
И последнее, что мы хотели бы показать вам, прежде чем двигаться дальше, это
Советы по эффективной веб-разработке с помощью Python
Советы по эффективной веб-разработке с помощью Python
Как веб-разработчик, Python может стать мощным инструментом для создания эффективных и масштабируемых веб-приложений.
1
0
53
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Если WRONG_VERSION_NUMBER, сервер не будет отправлять сертификат. При использовании SSLV3_ALERT_BAD_CERTIFICATE сертификат уже исчез, поскольку сокет закрыт, поэтому вам нужно будет перехватить его до закрытия сокета.

При взгляде на базовый OpenSSL обычный способ перехватить сертификат в этом случае — реализовать обратный вызов SSL проверки в контексте SSL. Но эта функциональность не реализована в Python, так что вам, вероятно, не повезло.

Могу ли я написать свою собственную функцию проверки сертификатов на Python. Затем передайте ssl_verify=False в контексте ssl, чтобы иметь возможность всегда читать сертификаты?

Anirudh Panchangam 24.05.2024 15:13

@AnirudhPanchangam: Возможно ли это теоретически: да. Но это нетривиально, поэтому лучше использовать существующий код, например cryptography.io/en/latest/x509/verification . И вам необходимо убедиться, что вы выполнили проверку перед передачей каких-либо данных приложения.

Steffen Ullrich 24.05.2024 15:35

Спасибо, я приму это как ответ.

Anirudh Panchangam 24.05.2024 15:41

Другие вопросы по теме