Come verificare i certificati SSL utilizzando la libreria requests in Python

La libreria requests di Python è ampiamente utilizzata per interagire facilmente con API web e per comunicazioni HTTP. Tuttavia, per garantire una comunicazione sicura, la crittografia tramite il protocollo SSL/TLS è fondamentale. La libreria requests verifica i certificati SSL per impostazione predefinita, ma a seconda dell’ambiente, potrebbero verificarsi degli errori. Per gestire correttamente gli errori relativi ai certificati e mantenere la sicurezza delle comunicazioni, è essenziale comprendere il meccanismo di verifica dei certificati SSL e configurarlo correttamente. In questo articolo, esploreremo come verificare i certificati SSL usando la libreria requests e come affrontare i problemi comuni in modo semplice e chiaro.

Indice

Concetti di base sulla verifica dei certificati SSL


I certificati SSL (Secure Sockets Layer) sono utilizzati per crittografare la comunicazione tra un server web e un client, prevenendo l’intercettazione o la manomissione da parte di terzi. Sebbene oggi il protocollo SSL sia stato sostituito dal suo successore TLS (Transport Layer Security), il termine “certificato SSL” è ancora comunemente utilizzato.

Come funziona un certificato SSL


I certificati SSL vengono acquisiti dai proprietari di siti web tramite un’autorità di certificazione (CA) e servono a dimostrare che il sito è affidabile. Quando un browser o un client HTTP stabilisce una connessione SSL/TLS, verifica il certificato per confermare i seguenti aspetti.

  1. Il certificato è stato emesso da una CA di fiducia.
  2. Il nome del dominio a cui si riferisce il certificato corrisponde al dominio richiesto.
  3. Il certificato non è scaduto.

Importanza della verifica del certificato


Verificare i certificati SSL aiuta a prevenire i seguenti rischi per la sicurezza.

  • Attacchi di impersonificazione: Previene l’intercettazione dei dati da parte di un server falso.
  • Attacchi Man-in-the-Middle (MITM): Riduce il rischio che i contenuti della comunicazione vengano intercettati o modificati.

Verificare correttamente i certificati è cruciale per garantire una comunicazione sicura. La libreria requests è progettata per verificare i certificati SSL per impostazione predefinita.

Configurazione di base per la verifica SSL con la libreria requests

La libreria requests ha una funzionalità incorporata che consente di verificare automaticamente i certificati SSL. In questo modo, si garantisce la sicurezza delle comunicazioni, assicurandosi di connettersi solo a siti web affidabili.

Il ruolo del parametro `verify`


Con la libreria requests, è possibile controllare la verifica dei certificati SSL utilizzando il parametro verify. Questo parametro può essere configurato in due modi:

  1. True (predefinito): Abilita la verifica del certificato.
  2. False: Disabilita la verifica del certificato (non raccomandato).

Il comportamento predefinito è verify=True, il che significa che la libreria si riferisce a un elenco di CA di fiducia per verificare il certificato.

Esempio di utilizzo di base


Ecco un esempio su come utilizzare il parametro verify.

import requests

# Verifica il certificato SSL e invia la richiesta HTTPS
response = requests.get('https://example.com', verify=True)
print(response.status_code)

Disabilitare la verifica del certificato


Per scopi di test o debugging, è possibile disabilitare la verifica del certificato configurando il parametro come segue.

import requests

# Invia una richiesta senza verificare il certificato SSL (sconsigliato)
response = requests.get('https://example.com', verify=False)
print(response.status_code)

In questo caso, Python genererà un avviso. È possibile sopprimere l’avviso come mostrato di seguito, ma questa pratica dovrebbe essere evitata in ambienti di produzione.

import requests
from requests.packages.urllib3.exceptions import InsecureRequestWarning

# Sopprimere l'avviso
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

# Invia una richiesta senza verificare il certificato SSL
response = requests.get('https://example.com', verify=False)
print(response.status_code)

Precauzioni


Disabilitare la verifica del certificato aumenta i rischi di sicurezza. Potrebbe permettere connessioni a siti dannosi e vulnerabilità agli attacchi Man-in-the-Middle, quindi l’uso di verify=False dovrebbe essere limitato a ambienti di test o a situazioni specifiche.

Disabilitare i certificati SSL e i rischi associati

Disabilitare la verifica del certificato SSL può evitare errori di comunicazione, ma comporta significativi rischi per la sicurezza. La libreria requests consente di saltare la verifica del certificato impostando verify=False, ma questo non è raccomandato in ambienti di produzione.

Disabilitare la verifica del certificato


Per disabilitare la verifica del certificato, è possibile configurare verify=False.

import requests

# Disabilitare la verifica del certificato SSL
response = requests.get('https://example.com', verify=False)
print(response.text)

Con questa configurazione, la richiesta viene inviata senza verificare la validità del certificato.

Rischi della disabilitazione della verifica del certificato

  1. Vulnerabilità agli attacchi Man-in-the-Middle (MITM)
    Disabilitare la verifica consente connessioni con server di cui non è possibile verificare l’affidabilità. Un attaccante malintenzionato potrebbe intercettare e alterare i dati.
  2. Connessione a server di impersonificazione
    Se un attaccante si finge un server legittimo, la disabilitazione della verifica consente una connessione non protetta, con il rischio di perdita di informazioni sensibili.
  3. Aumento del rischio di sfruttamento delle vulnerabilità
    Ignorando il protocollo di sicurezza SSL/TLS, si aumenta la probabilità di comunicare con server che utilizzano crittografia obsoleta o vulnerabile.

Rischi derivanti dalla soppressione degli avvisi


Quando vengono generati avvisi in requests, è per rendere chiari i rischi. Sopprimerli con urllib3.disable_warnings può portare a trascurare i problemi di sicurezza.

# Soppressione degli avvisi non raccomandata
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

Raccomandazioni


Invece di disabilitare la verifica del certificato, considera le seguenti soluzioni:

  • Installare certificati CA affidabili: Verifica che il certificato del server sia stato correttamente emesso.
  • Configurazione di certificati personalizzati: Specifica un certificato CA particolare nel parametro verify (vedi il prossimo paragrafo).
  • Configurazione corretta del server: Assicurati che il server utilizzi il certificato SSL corretto.

La disabilitazione della verifica del certificato dovrebbe essere limitata alla risoluzione dei problemi o alla fase di debug, garantendo sempre una connessione sicura come priorità assoluta.

Verifica SSL con certificato personalizzato

In alcuni casi, potrebbe essere necessario connettersi a un server che utilizza un certificato SSL emesso da una propria autorità di certificazione (CA). In tali situazioni, è possibile utilizzare il parametro verify per specificare un file di certificato personalizzato e verificare il certificato SSL.

Preparazione del certificato CA personalizzato


Per utilizzare un certificato CA personalizzato, è necessario prima ottenerlo (di solito in formato .pem) e salvarlo nell’ambiente locale. Ad esempio, supponiamo di avere un file di certificato denominato my_ca_cert.pem.

Uso del certificato personalizzato


La libreria requests consente di utilizzare un certificato personalizzato specificando il percorso del file nel parametro verify.

import requests

# Usa il certificato CA personalizzato per inviare la richiesta
response = requests.get('https://example.com', verify='path/to/my_ca_cert.pem')
print(response.status_code)

Con questa configurazione, verrà utilizzato il certificato CA specificato per verificare il certificato del server.

Considerazioni sulla catena di certificati


Se il certificato CA personalizzato richiede un certificato intermedio, assicurati che la catena di certificati sia configurata correttamente. Includere i certificati intermedi nel file my_ca_cert.pem può facilitare la verifica.

Esempio di successo della verifica


Di seguito è riportato un esempio di richiesta HTTPS con certificato personalizzato riuscita.

# Se il certificato è corretto
response = requests.get('https://securedomain.com', verify='my_ca_cert.pem')
if response.ok:
    print("Connessione riuscita!")
else:
    print("Connessione fallita. Codice di stato:", response.status_code)

Soluzioni se il certificato personalizzato non viene riconosciuto

  1. Verifica il formato del certificato
    Assicurati che il certificato sia codificato in formato PEM. Se il formato è diverso, puoi convertirlo usando OpenSSL.
   openssl x509 -in my_ca_cert.crt -out my_ca_cert.pem -outform PEM
  1. Verifica il percorso del certificato
    Assicurati che il percorso del file sia corretto.
  2. Integra la catena di certificati
    Se è necessario un certificato intermedio, integralo nel certificato CA principale.
   cat intermediate_cert.pem >> my_ca_cert.pem

Utilizzo dei certificati a livello di sistema


Se utilizzi frequentemente certificati personalizzati, considera l’idea di aggiungerli al negozio di certificati CA predefiniti del sistema. Questo ti aiuterà a mantenere la connessione sicura e a semplificare il codice.

sudo cp my_ca_cert.pem /usr/local/share/ca-certificates/
sudo update-ca-certificates

Raccomandazioni


Anche quando si utilizzano certificati personalizzati, assicurati sempre della loro affidabilità. Utilizzare certificati ben gestiti ti aiuterà a mantenere la sicurezza delle comunicazioni.

Risoluzione degli errori nei certificati

Quando utilizzi la libreria requests per verificare i certificati SSL, potrebbero verificarsi degli errori. Questi errori sono generalmente causati da problemi con il certificato o l’ambiente del sistema. Qui esploreremo i motivi comuni degli errori nei certificati e come risolverli.

Errori comuni e le loro cause

  1. Certificato non affidabile (Certificate verify failed)
    Si verifica quando il certificato del server non è firmato da una CA o quando il certificato CA non è presente nel negozio di fiducia del sistema.
   requests.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED]
  1. Certificato scaduto (Expired certificate)
    Si verifica quando il certificato del server è scaduto.
  2. Nome del dominio del certificato non corrispondente (Hostname mismatch)
    Si verifica quando il nome del dominio nel certificato (Common Name o SAN) non corrisponde al dominio dell’URL richiesto.
  3. Certificato intermedio mancante (Incomplete certificate chain)
    Si verifica quando il server non fornisce i certificati intermedi necessari.

Soluzioni agli errori

1. Aggiungere il certificato CA


Se il certificato non è considerato affidabile, prepara un certificato CA personalizzato e specifica il percorso nel parametro verify.

import requests

# Usa un certificato CA personalizzato
response = requests.get('https://example.com', verify='path/to/ca_cert.pem')
print(response.status_code)

2. Aggiornare il negozio di certificati CA del sistema


Se il negozio di certificati del sistema è obsoleto, gli errori di certificato potrebbero verificarsi. Usa i seguenti comandi per aggiornare il negozio di certificati.

  • Debian/Ubuntu
  sudo apt update
  sudo apt install --reinstall ca-certificates
  • macOS
  security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain path/to/ca_cert.pem

3. Controlla il certificato del server


Se il certificato del server è scaduto o non corrisponde al dominio, contatta l’amministratore del server per aggiornare o correggere il certificato. Puoi verificare il certificato con il comando openssl.

openssl s_client -connect example.com:443 -showcerts

4. Integrare i certificati intermedi


Se il certificato intermedio manca, costruisci e integra la catena di certificati.

cat intermediate_cert.pem >> server_cert.pem

5. Soluzione temporanea (non raccomandata)


Se devi a tutti i costi evitare un errore del certificato, puoi disabilitare la verifica configurando verify=False. Tuttavia, questa soluzione aumenta i rischi per la sicurezza, quindi evita di usarla in ambienti di produzione.

response = requests.get('https://example.com', verify=False)

Migliori pratiche per risolvere gli errori

  • Aggiorna regolarmente il negozio di certificati CA del sistema.
  • Verifica che il certificato del server sia configurato correttamente.
  • Usa certificati CA personalizzati, quando necessario, per garantire comunicazioni sicure.

Con queste soluzioni, puoi risolvere efficacemente gli errori relativi ai certificati SSL e garantire comunicazioni sicure.

Utilizzare strumenti esterni per verificare i certificati

Per risolvere i problemi legati ai certificati SSL, è necessario esaminare i dettagli del certificato e identificare la causa del problema. Non solo la libreria requests, ma anche gli strumenti esterni possono essere utilizzati per ispezionare i certificati. In questa sezione vedremo alcuni strumenti utili per la verifica dei certificati e come utilizzarli.

Verifica dei certificati con OpenSSL

OpenSSL è uno strumento ampiamente utilizzato per la gestione dei certificati e delle comunicazioni SSL/TLS. Può essere utile per ottenere il certificato del server e verificarne lo stato.

Ottenere il certificato del server


Puoi ottenere il certificato del server e visualizzarne i dettagli con il seguente comando.

openssl s_client -connect example.com:443 -showcerts

Esempio di output:

Certificate chain
 0 s:/CN=example.com
   i:/CN=Example CA
---
Server certificate
-----BEGIN CERTIFICATE-----
(certificato dati)
-----END CERTIFICATE-----

Controllo della validità del certificato


Per controllare la validità di un certificato ottenuto, usa il comando sottostante.

openssl x509 -in server_cert.pem -noout -dates

Output dell’esempio:

notBefore=Nov  1 00:00:00 2023 GMT
notAfter=Oct 31 23:59:59 2024 GMT

Verifica del certificato CA con certifi

La libreria requests di Python utilizza certifi per gestire i certificati CA affidabili. Con certifi è possibile visualizzare l’elenco dei certificati CA attualmente utilizzati.

Installazione di certifi


Se certifi non è installato, puoi farlo con il comando seguente.

pip install certifi

Verifica del percorso del certificato con certifi


Per vedere il percorso del certificato CA attualmente in uso, esegui il codice seguente.

import certifi

# Visualizza il percorso del certificato CA
print(certifi.where())

Esempio di output:

/path/to/python/site-packages/certifi/cacert.pem

Verifica del certificato tramite browser

Puoi anche verificare un certificato SSL direttamente nel browser, come su Chrome o Firefox.

  1. Accedi al sito web: Vai al sito (ad esempio, https://example.com).
  2. Visualizza le informazioni del certificato:
  • Chrome: Clicca sull’icona del lucchetto nella barra degli indirizzi e seleziona “Dettagli”.
  • Firefox: Clicca sull’icona del lucchetto e seleziona “Dettagli connessione”.
  1. Controlla i dettagli del certificato: Verifica l’emittente, il dominio di destinazione e la data di scadenza.

Punti da verificare

  • Corrispondenza del nome del dominio: Assicurati che il CN o SAN del certificato corrisponda al nome del dominio richiesto.
  • Esistenza di certificati intermedi: Verifica che la catena di certificati sia completa e includa tutti i certificati intermedi necessari.
  • Validità: Verifica che il certificato non sia scaduto.

Guida alla scelta degli strumenti

  • Per ottenere il certificato direttamente dal server: usa OpenSSL.
  • Per controllare l’elenco delle CA fidate della libreria requests: usa certifi.
  • Per visualizzare i dettagli del certificato in modo intuitivo: usa il browser.

Utilizzando questi strumenti, puoi identificare rapidamente i problemi legati ai certificati SSL e ottenere informazioni utili per mantenere un ambiente di comunicazione sicuro.

Esempi pratici di codice per la verifica SSL con requests

In questa sezione, vedremo esempi concreti di codice per la verifica dei certificati SSL utilizzando la libreria requests di Python. Esploreremo dalla configurazione di base alla gestione dei certificati personalizzati, fino alla risoluzione degli errori comuni.

Esempio di verifica SSL di base

La libreria requests verifica automaticamente i certificati SSL. Ecco un esempio di invio di una richiesta HTTPS con la verifica del certificato attiva.

import requests

# Richiesta HTTPS con verifica corretta del certificato
url = 'https://www.google.com'
response = requests.get(url)

print(f"Codice di stato: {response.status_code}")
print(f"Intestazioni della risposta: {response.headers}")

Se la verifica del certificato ha esito positivo, il codice di stato HTTP e le intestazioni della risposta verranno visualizzati.

Esempio di errore nella verifica del certificato

Se la verifica del certificato fallisce, verrà generata un’eccezione requests.exceptions.SSLError. Il seguente esempio mostra un errore durante l’accesso a un sito con certificato autofirmato.

url = 'https://self-signed.badssl.com'

try:
    response = requests.get(url)
except requests.exceptions.SSLError as e:
    print(f"Errore SSL: {e}")

In questo caso, l’errore si verifica perché il certificato è emesso da una CA non affidabile.

Esempio con certificato CA personalizzato

Qui vediamo come specificare un certificato CA personalizzato per verificare il certificato del server.

url = 'https://example.com'
ca_cert_path = '/path/to/your/ca_cert.pem'

# Specificare il certificato personalizzato per la richiesta
response = requests.get(url, verify=ca_cert_path)

print(f"Codice di stato: {response.status_code}")
print(f"Corpo della risposta: {response.text}")

In questo esempio, il parametro verify è impostato sul percorso del certificato CA personalizzato per verificare il certificato del server.

Esempio di disabilitazione della verifica SSL (non raccomandato)

Nel seguente esempio, la verifica SSL è disabilitata per inviare la richiesta. Questo approccio non è raccomandato al di fuori degli ambienti di test.

url = 'https://self-signed.badssl.com'

# Disabilitare la verifica e inviare la richiesta
response = requests.get(url, verify=False)

print(f"Codice di stato: {response.status_code}")
print(f"Corpo della risposta: {response.text}")

Questo codice invia una comunicazione con la verifica SSL disabilitata. Python genererà un avviso per questa impostazione.

Abilitare i log dettagliati per il debugging della verifica

Quando si risolvono problemi di verifica del certificato, abilitare i log dettagliati può aiutare a ottenere informazioni utili.

import requests
import logging

# Abilitare i log
logging.basicConfig(level=logging.DEBUG)

url = 'https://www.google.com'
response = requests.get(url)

print(f"Codice di stato: {response.status_code}")

I log mostreranno informazioni sul processo di handshake TLS e sui dettagli del certificato.

Esempio generale: Gestire più casi

Questo esempio mostra come gestire dinamicamente diversi scenari di verifica del certificato con una funzione riutilizzabile.

def fetch_url(url, ca_cert=None, disable_ssl=False):
    try:
        if disable_ssl:
            response = requests.get(url, verify=False)
        elif ca_cert:
            response = requests.get(url, verify=ca_cert)
        else:
            response = requests.get(url)
        return response.text
    except requests.exceptions.SSLError as e:
        return f"Errore SSL: {e}"
    except Exception as e:
        return f"Altri errori: {e}"

# Esempi di utilizzo
print(fetch_url('https://example.com', ca_cert='/path/to/ca_cert.pem'))
print(fetch_url('https://self-signed.badssl.com', disable_ssl=True))

Questa funzione consente di gestire la verifica standard, l’uso di certificati personalizzati e la disabilitazione della verifica SSL in modo flessibile.

Controllo dei risultati

Quando esegui il codice, verifica i seguenti punti:

  • La comunicazione ha avuto successo?
  • Il codice di stato HTTP e il contenuto della risposta sono corretti?
  • Hai ottenuto informazioni dettagliate sugli errori?

Con questi esempi pratici, sarai in grado di gestire facilmente vari scenari di verifica dei certificati SSL.

Esempi avanzati: Verifica SSL nelle comunicazioni API

Quando comunichi con API, è fondamentale verificare correttamente i certificati SSL. La protezione contro connessioni non sicure è essenziale per mantenere i dati al sicuro. In questa sezione vedremo come gestire la verifica SSL in contesti API.

Verifica SSL nelle comunicazioni API con autenticazione

Molte API richiedono l’autenticazione tramite token o chiavi API. Qui vedremo un esempio di come configurare correttamente la verifica SSL con le intestazioni di autenticazione.

import requests

api_url = 'https://api.example.com/data'
api_key = 'your_api_key_here'

headers = {
    'Authorization': f'Bearer {api_key}',
    'Content-Type': 'application/json'
}

# Invia richiesta HTTPS
response = requests.get(api_url, headers=headers)

if response.status_code == 200:
    print("Dati ottenuti con successo:", response.json())
else:
    print(f"Errore: {response.status_code}, Dettagli: {response.text}")

In questo esempio, la libreria requests verifica il certificato SSL e assicura una comunicazione sicura durante l’autenticazione con l’API.

Comunicazioni API interne con certificato personalizzato

Se un’API interna o privata utilizza un certificato CA personalizzato, puoi specificarlo per garantire la sicurezza della comunicazione.

api_url = 'https://internal-api.example.com/data'
ca_cert_path = '/path/to/internal_ca_cert.pem'

# Specifica il certificato personalizzato
response = requests.get(api_url, verify=ca_cert_path)

if response.status_code == 200:
    print("Comunicazione API interna riuscita:", response.json())
else:
    print(f"Errore: {response.status_code}, Dettagli: {response.text}")

Test con disabilitazione della verifica SSL

In ambienti di sviluppo, potrebbe essere necessario disabilitare la verifica SSL quando si utilizzano certificati autofirmati. Tuttavia, questa pratica dovrebbe essere limitata ai test.

api_url = 'https://dev-api.example.com/data'

# Disabilita SSL e invia la richiesta
response = requests.get(api_url, verify=False)

if response.status_code == 200:
    print("Test riuscito:", response.json())
else:
    print(f"Errore: {response.status_code}, Dettagli: {response.text}")

Migliori pratiche per rafforzare la sicurezza

Per gestire correttamente la verifica SSL nelle comunicazioni API, adotta le seguenti migliori pratiche di sicurezza.

1. Sempre abilitare la verifica SSL


Evita di utilizzare verify=False al di fuori degli ambienti di test. Questo previene la connessione con server non sicuri.

2. Controlla regolarmente la validità dei certificati


Monitora regolarmente la scadenza dei certificati in uso per evitare interruzioni nei servizi.

openssl x509 -in /path/to/certificate.pem -noout -dates

3. Implementa una gestione adeguata degli errori


Assicurati di implementare una gestione adeguata delle eccezioni per registrare dettagli utili in caso di errori SSL.

try:
    response = requests.get(api_url, verify=True)
    response.raise_for_status()
except requests.exceptions.SSLError as e:
    print(f"Errore SSL: {e}")
except requests.exceptions.RequestException as e:
    print(f"Errore di comunicazione: {e}")

4. Usa i certificati client quando richiesti


Per le API che richiedono l’autenticazione del client, configura i certificati client necessari per garantire la sicurezza della connessione.

api_url = 'https://secure-api.example.com/data'
client_cert = '/path/to/client_cert.pem'
client_key = '/path/to/client_key.pem'

response = requests.get(api_url, cert=(client_cert, client_key), verify=True)

if response.status_code == 200:
    print("Autenticazione client riuscita:", response.json())
else:
    print(f"Errore: {response.status_code}, Dettagli: {response.text}")

Conclusioni

  • Configura correttamente la verifica SSL: La sicurezza è la priorità assoluta. Usa il parametro verify per garantire comunicazioni sicure.
  • Gestione adeguata degli errori: Registra dettagliato in caso di errori, per semplificare il debug.
  • Usa certificati personalizzati: Sfrutta certificati CA o client personalizzati per garantire la sicurezza delle comunicazioni interne.

Implementando queste pratiche, puoi garantire comunicazioni API SSL sicure ed efficienti.

Riepilogo

In questo articolo, abbiamo esplorato come verificare i certificati SSL utilizzando la libreria requests di Python. I certificati SSL giocano un ruolo fondamentale nella sicurezza delle comunicazioni. Abbiamo esaminato le configurazioni di base di requests, l’uso di certificati personalizzati, la risoluzione degli errori e applicazioni pratiche nelle comunicazioni API.

Per mantenere comunicazioni sicure, ecco i punti chiave da ricordare:

  • Usa la configurazione predefinita per garantire comunicazioni sicure con certificati SSL.
  • Configura correttamente i certificati CA per le comunicazioni interne con API personalizzate.
  • Disabilita la verifica SSL solo per scopi di test. Usa sempre la verifica in ambienti di produzione.

Utilizza queste conoscenze per realizzare comunicazioni HTTP più sicure e affidabili.

Indice