unerwartete pyssl Zertifikat Fehler

Question

Ich schreibe einen kleinen SSL-Proxy-Server und erhalten ssl.SSLError: [SSL: SSLV3_ALERT_CERTIFICATE_UNKNOWN] sslv3 alert certificate unknown (_ssl.c:661) von einem Android-App-Client, aber kein Browser. Ich habe ssl.CERT_NONE gesetzt. Hier ist mein Testcode:

SSLcontext = ssl.SSLContext(ssl.PROTOCOL_SSLv23) 
SSLcontext.load_cert_chain('server.crt', 'server.key') 
SSLcontext.verify_mode = ssl.CERT_NONE 
SSLcontext.check_hostname = False 

s = socket.socket() 
s.bind(('127.0.0.1', 443)) 
s.listen(5) 

c = s.accept()[0] 
c = SSLcontext.wrap_socket(c, server_side = True) 
print c.recv(1024) 

Ist dies wegen Zertifikat auf dem Android App Pinning oder ich mache etwas falsch gemacht?

Answer 1

Ich habe gesetzt ssl.CERT_NONE

Dies hat keinen Einfluss, wie der Client überhaupt das Serverzertifikat überprüft. Der Server kann den Client nicht anweisen, das Zertifikat nicht zu überprüfen, und es wäre ein ernsthaftes Sicherheitsproblem, wenn der Server dies tun könnte.

SSLV3_ALERT_CERTIFICATE_UNKNOWN ... von einem Android-App-Client, aber kein Browser.

Es ist unbekannt, welche Art von Zertifikat Sie hier verwenden. Wenn es sich um eine selbstsignierte Signatur handelt, haben Sie diese wahrscheinlich einmal als vertrauenswürdig zum Browser hinzugefügt oder eine explizite Ausnahme hinzugefügt - dies jedoch nicht für die Android-App getan. Wenn es sich um ein Zertifikat handelt, das von einer öffentlichen Zertifizierungsstelle ausgestellt wurde, fehlen Ihnen wahrscheinlich die Kettenzertifikate. Desktop-Browser arbeiten häufig mit diesem serverseitigen Problem zusammen, während dies bei den meisten anderen Clients nicht der Fall ist.