![](/img/trans.png)
[英]Seemingly Random ssl.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error
[英]ssl.SSLError: tlsv1 alert protocol version
我将 REST API 用于Cisco CMX 设备,并尝试编写 Python 代码,该代码向 API 发出 GET 请求以获取信息。 代码如下,除了必要的信息有所改动外,与文件中的代码相同。
from http.client import HTTPSConnection
from base64 import b64encode
# Create HTTPS connection
c = HTTPSConnection("0.0.0.0")
# encode as Base64
# decode to ascii (python3 stores as byte string, need to pass as ascii
value for auth)
username_password = b64encode(b"admin:password").decode("ascii")
headers = {'Authorization': 'Basic {0}'.format(username_password)}
# connect and ask for resource
c.request('GET', '/api/config/v1/aaa/users', headers=headers)
# response
res = c.getresponse()
data = res.read()
但是,我不断收到以下错误:
Traceback (most recent call last):
File "/Users/finaris/PycharmProjects/test/test/test.py", line 14, in <module>
c.request('GET', '/api/config/v1/aaa/users', headers=headers)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/http/client.py", line 1106, in request
self._send_request(method, url, body, headers)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/http/client.py", line 1151, in _send_request
self.endheaders(body)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/http/client.py", line 1102, in endheaders
self._send_output(message_body)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/http/client.py", line 934, in _send_output
self.send(msg)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/http/client.py", line 877, in send
self.connect()
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/http/client.py", line 1260, in connect
server_hostname=server_hostname)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/ssl.py", line 377, in wrap_socket
_context=self)
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/ssl.py", line 752, in __init__
self.do_handshake()
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/ssl.py", line 988, in do_handshake
self._sslobj.do_handshake()
File "/Library/Frameworks/Python.framework/Versions/3.5/lib/python3.5/ssl.py", line 633, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version (_ssl.c:645)
我也尝试更新 OpenSSL 但没有效果。
我有同样的错误,谷歌把我带到了这个问题,所以这就是我所做的,希望它可以帮助处于类似情况的其他人。
这适用于 OS X。
在终端中检查我拥有的 OpenSSL 版本:
$ python3 -c "import ssl; print(ssl.OPENSSL_VERSION)"
>> OpenSSL 0.9.8zh 14 Jan 2016
由于我的 OpenSSL 版本太旧,接受的答案不起作用。
所以我不得不更新 OpenSSL。 为此,我使用 Homebrew 将 Python 更新到最新版本(从 3.5 版到 3.6 版),遵循此处建议的一些步骤:
$ brew update
$ brew install openssl
$ brew install python3
然后我遇到了 PATH 和正在使用的 python 版本的问题,所以我刚刚创建了一个新的virtualenv
以确保采用最新版本的 python:
$ virtualenv webapp --python=python3.6
问题解决了。
您唯一需要做的就是在您的 virtualenv 中安装requests[security]
。 你不应该使用 Python 3(它应该在 Python 2.7 中工作)。 此外,如果您使用的是最新版本的 macOS,您也不必使用homebrew
来单独安装 OpenSSL。
$ virtualenv --python=/usr/bin/python tempenv # uses system python
$ . tempenv/bin/activate
$ pip install requests
$ python
>>> import ssl
>>> ssl.OPENSSL_VERSION
'OpenSSL 0.9.8zh 14 Jan 2016' # this is the built-in openssl
>>> import requests
>>> requests.get('https://api.github.com/users/octocat/orgs')
requests.exceptions.SSLError: HTTPSConnectionPool(host='api.github.com', port=443): Max retries exceeded with url: /users/octocat/orgs (Caused by SSLError(SSLError(1, u'[SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version (_ssl.c:590)'),))
$ pip install 'requests[security]'
$ python # install requests[security] and try again
>>> import requests
>>> requests.get('https://api.github.com/users/octocat/orgs')
<Response [200]>
requests[security]
允许请求在协商连接时使用最新版本的 TLS。 macOS 上的内置 openssl 支持 TLS v1.2。
在安装自己的 OpenSSL 版本之前,先问这个问题:Google Chrome 是如何加载https://github.com 的?
我相信TLSV1_ALERT_PROTOCOL_VERSION
正在提醒您服务器不想与您谈论 TLS v1.0。 尝试仅通过粘贴以下行来指定 TLS v1.2:
import ssl
from http.client import HTTPSConnection
context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
# Create HTTPS connection
c = HTTPSConnection("0.0.0.0", context=context)
请注意,您可能需要足够新的 Python 版本(也许是 2.7.9+?),也可能需要 OpenSSL(我有“OpenSSL 1.0.2k 26 Jan 2017”,以上似乎有效,YMMV)
没有一个接受的答案为我指明了正确的方向,这仍然是搜索主题时出现的问题,所以这是我(部分)成功的传奇。
背景:我在 Beaglebone Black 上运行 Python 脚本,该脚本使用python-poloniex库轮询加密货币交易所 Poloniex。 它突然停止工作,出现 TLSV1_ALERT_PROTOCOL_VERSION 错误。
事实证明,OpenSSL 很好,并且试图强制建立 v1.2 连接是一场巨大的追逐——该库将根据需要使用最新版本。 链中的薄弱环节实际上是 Python,它只定义了ssl.PROTOCOL_TLSv1_2
,因此从 3.4 版本开始支持 TLS v1.2。
同时,Beaglebone 上的 Debian 版本认为 Python 3.3 是最新的。 我使用的解决方法是从源代码安装 Python 3.5(3.4 最终可能也能正常工作,但经过数小时的反复试验我完成了):
sudo apt-get install build-essential checkinstall
sudo apt-get install libreadline-gplv2-dev libncursesw5-dev libssl-dev libsqlite3-dev tk-dev libgdbm-dev libc6-dev libbz2-dev
wget https://www.python.org/ftp/python/3.5.4/Python-3.5.4.tgz
sudo tar xzf Python-3.5.4.tgz
cd Python-3.5.4
./configure
sudo make altinstall
也许并非所有这些包都是绝对必要的,但是一次安装它们可以节省大量重试。 altinstall
可防止安装破坏现有的 python 二进制文件,而是安装为python3.5
,尽管这意味着您必须重新安装其他库。 ./configure
花了五到十分钟。 make
花了几个小时。
现在这仍然没有用,直到我终于跑了
sudo -H pip3.5 install requests[security]
它还安装pyOpenSSL
、 cryptography
和idna
。 我怀疑pyOpenSSL
是关键,所以也许pip3.5 install -U pyopenssl
就足够了,但我已经花了太长时间来确定。
所以总结一下,如果你在 Python 中得到 TLSV1_ALERT_PROTOCOL_VERSION 错误,那可能是因为你不能支持 TLS v1.2。 要添加支持,您至少需要以下内容:
这让我超越了 TLSV1_ALERT_PROTOCOL_VERSION,现在我开始使用 SSL23_GET_SERVER_HELLO。
原来这又回到了 Python 选择错误 SSL 版本的原始问题。 这可以通过使用此技巧挂载带有ssl_version=ssl.PROTOCOL_TLSv1_2
的请求会话来确认。 没有它,将使用 SSLv23 并出现 SSL23_GET_SERVER_HELLO 错误。 有了它,请求就成功了。
最后的战斗是在第三方库深处发出请求时强制选择 TLSv1_2。 这种方法和 这种方法都应该可以解决问题,但都没有任何区别。 我的最终解决方案很糟糕,但很有效。 我编辑了/usr/local/lib/python3.5/site-packages/urllib3/util/ssl_.py
并改变了
def resolve_ssl_version(candidate):
"""
like resolve_cert_reqs
"""
if candidate is None:
return PROTOCOL_SSLv23
if isinstance(candidate, str):
res = getattr(ssl, candidate, None)
if res is None:
res = getattr(ssl, 'PROTOCOL_' + candidate)
return res
return candidate
到
def resolve_ssl_version(candidate):
"""
like resolve_cert_reqs
"""
if candidate is None:
return ssl.PROTOCOL_TLSv1_2
if isinstance(candidate, str):
res = getattr(ssl, candidate, None)
if res is None:
res = getattr(ssl, 'PROTOCOL_' + candidate)
return res
return candidate
瞧,我的脚本终于可以再次联系服务器了。
截至 2018 年 7 月,Pypi 现在要求连接到它的客户端使用 TLS 1.2。 如果您使用的是 MacOS (2.7.10) 附带的 python 版本,这是一个问题,因为它仅支持 TLS 1.0。 您可以更改 python 用于修复问题的 ssl 版本或升级到更新版本的 python。 使用 homebrew 在默认库位置之外安装新版本的 python。
brew install python@2
对于 Mac OS X
1) 使用从 Python 语言官方网站https://www.python.org/downloads/下载的本机应用安装程序更新到 Python 3.6.5
我发现安装程序负责更新新 Python 的链接和符号链接比自制软件要好得多。
2) 使用“./Install Certificates.command”安装新证书,它位于刷新后的 Python 3.6 目录中
> cd "/Applications/Python 3.6/"
> sudo "./Install Certificates.command"
这个问题的另一个来源:我发现在 Debian 9 中,Python httplib2被硬编码为坚持 TLS v1.0。 因此,任何使用httplib2连接到坚持更高安全性的服务器的应用程序都会因TLSV1_ALERT_PROTOCOL_VERSION 而失败。
我通过改变来修复它
context = ssl.SSLContext(ssl.PROTOCOL_TLSv1)
到
context = ssl.SSLContext()
在 /usr/lib/python3/dist-packages/httplib2/__init__.py 中。
Debian 10 没有这个问题。
我也遇到了这个问题。 在 macos 中,这是解决方案:
步骤1:酿造restall python。 现在你得到了 python3.7 而不是旧的 python
第二步:基于python3.7构建新的env。 我的路径是/usr/local/Cellar/python/3.7.2/bin/python3.7
现在,你不会被这个问题打扰了。
我在尝试gem install bundler
时遇到了这个确切的问题,并且对所有 Python 响应感到困惑(因为我使用的是 Ruby)。 这是我的确切错误:
ERROR: Could not find a valid gem 'bundler' (>= 0), here is why:
Unable to download data from https://rubygems.org/ - SSL_connect returned=1 errno=0 state=SSLv2/v3 read server hello A: tlsv1 alert protocol version (https://rubygems.org/latest_specs.4.8.gz)
我的解决方案:我将 Ruby 更新到最新版本 (2.6.5)。 问题解决了。
对于MacOS上的python2用户(找不到 python@2 公式) ,由于 brew 停止了对 python2 的支持,您需要使用这样的命令! 但是,如果预先安装了旧 python,请不要忘记取消链接。
brew install https://raw.githubusercontent.com/Homebrew/homebrew-core/86a44a0a552c673a05f11018459c9f5faae3becc/Formula/python@2.rb
如果你犯了一些错误,只需brew uninstall python@2
old way,然后再试一次。
我使用带有flask_mqtt
扩展名的Flask 遇到了这个问题。 解决方案是将其添加到 Python 文件中:
app.config['MQTT_TLS_VERSION'] = ssl.PROTOCOL_TLSv1_2
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.