解决Python Requests TLSv1握手失败与服务器拒绝连接问题

当python `requests`库在进行https连接时，如果客户端的tls版本过低（如tlsv1.0），可能导致服务器拒绝连接并抛出`connectionreseterror`。本文将深入探讨此问题的原因，并提供一套完整的解决方案，包括如何强制指定tls协议版本、配置加密套件（cipher suites）以及正确处理ssl证书验证，以确保python应用程序能够与现代安全标准的服务器建立稳定且安全的连接。

TLS握手失败：客户端为何使用旧版TLS？

在进行HTTPS通信时，客户端和服务器之间需要通过TLS（Transport Layer Security）协议进行握手，协商加密算法和会话密钥。如果客户端在Client Hello消息中提议的TLS版本过旧，而服务器已禁用该版本（例如，为了满足PCI DSS等安全标准，许多服务器不再支持TLSv1.0和TLSv1.1），则服务器会直接拒绝连接，导致客户端收到ConnectionResetError。

常见问题现象如下：

• Wireshark捕获分析：在网络流量中，可以看到客户端发送的Client Hello消息明确指出使用的TLS版本为TLSv1.0，而不是预期的TLSv1.2或TLSv1.3。
• Python异常：应用程序抛出ConnectionResetError: [Errno 104] Connection reset by peer，表明连接在建立初期就被对端重置。

即使Python环境中的OpenSSL库是最新版本（例如OpenSSL 1.1.1w），Python的ssl模块或requests库的默认行为有时仍可能导致使用较旧的TLS版本。这通常需要我们显式地配置SSLContext来强制使用更安全的TLS协议。

诊断服务器支持的TLS版本与加密套件

在尝试修复客户端配置之前，了解目标服务器支持的TLS版本和加密套件至关重要。可以使用openssl s_client命令进行诊断：

立即学习“Python免费学习笔记（深入）”；

openssl s_client -connect www.handlingandfulfilment.co.uk:443

或者，如果服务运行在非标准端口：

openssl s_client -connect www.handlingandfulfilment.co.uk:8079

该命令的输出会显示成功建立连接时使用的TLS版本和加密套件，例如：

New, TLSv1.2, Cipher is AES256-GCM-SHA384

这表明服务器支持TLSv1.2，并且AES256-GCM-SHA384是一个可用的加密套件。这些信息将指导我们配置Python客户端。

强制TLS版本与指定加密套件

Python的ssl模块允许我们创建自定义的SSLContext，从而精细控制TLS握手行为。

Copy Leaks

AI内容检测和分级，帮助创建和保护原创内容

下载

1. 禁用旧版TLS协议

通过设置SSLContext的options属性，可以禁用TLSv1.0和TLSv1.1：

import ssl

context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
# 禁用TLS 1.0 和 TLS 1.1
context.options |= ssl.OP_NO_TLSv1
context.options |= ssl.OP_NO_TLSv1_1
# 对于更现代的应用，也可以禁用TLS 1.2，强制TLS 1.3
# context.options |= ssl.OP_NO_TLSv1_2

使用ssl.PROTOCOL_TLS_CLIENT是创建客户端SSLContext的推荐方式，它会自动设置一些合理的默认值。

2. 指定加密套件

根据openssl s_client的诊断结果，我们可以使用set_ciphers方法来指定允许的加密套件。例如，如果服务器使用AES256-GCM-SHA384：

CIPHERS = 'ECDHE-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:!aNULL:!MD5'
context.set_ciphers(CIPHERS)

这里的!aNULL:!MD5是常见的做法，用于排除不安全的匿名加密套件和使用MD5哈希的套件。

证书验证与certifi

在配置TLS版本和加密套件后，可能会遇到证书验证失败的问题。这是因为客户端需要一个信任的根证书颁发机构（CA）列表来验证服务器提供的证书。certifi库提供了一个最新的、经过Mozilla维护的CA证书包，可以很方便地集成到SSLContext中：

import certifi
context.load_verify_locations(certifi.where())

将配置应用于requests和zeep

对于使用requests库（或其上层库如zeep）的应用程序，最优雅的解决方案是创建一个自定义的HTTPAdapter。

import certifi
import requests
from requests.adapters import HTTPAdapter, Retry
from urllib3 import PoolManager
from urllib3.util.ssl_ import create_urllib3_context
from zeep import Client
from zeep.transports import Transport
from dataclasses import dataclass, field

# 定义所需的加密套件
CIPHERS = 'ECDHE-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:!aNULL:!MD5'

class TLSAdapter(HTTPAdapter):
    """
    自定义HTTPAdapter，用于强制TLS版本、指定加密套件和加载certifi证书。
    """
    def init_poolmanager(self, *args, **kwargs):
        # 创建一个带有指定加密套件的SSL上下文
        context = create_urllib3_context(ciphers=CIPHERS)

        # 加载certifi提供的CA证书
        context.load_verify_locations(certifi.where())

        # 再次设置加密套件，确保生效
        context.set_ciphers(CIPHERS)

        # 禁用TLS 1.0 和 TLS 1.1
        # SSL_OP_NO_TLSv1 (0x80000) 和 SSL_OP_NO_TLSv1_1 (0x1000000) 是OpenSSL的选项标志
        context.options |= 0x80000  # ssl.OP_NO_TLSv1
        context.options |= 0x1000000 # ssl.OP_NO_TLSv1_1

        # 将自定义的SSL上下文传递给urllib3的PoolManager
        self.poolmanager = PoolManager(*args, ssl_context=context, **kwargs)

def requests_retry_session(
    retries=8,
    backoff_factor=0.3,
    status_forcelist=(500, 502, 503, 504),
    session=None,
) -> requests.Session:
    """
    创建一个带有重试机制和自定义TLS配置的requests会话。
    """
    session = session or requests.Session()
    retry = Retry(
        total=retries,
        read=retries,
        connect=retries,
        backoff_factor=backoff_factor,
        status_forcelist=status_forcelist,
    )
    # 使用自定义的TLSAdapter挂载到http和https协议上
    adapter = TLSAdapter(max_retries=retry)
    session.mount('http://', adapter)
    session.mount('https://', adapter)
    return session

# 示例：如何将此会话用于zeep客户端
@dataclass(order=True)
class ArkH:
    wsdl_url: str
    consumerName: str
    passCode: str
    helixClientName: str
    helixUsername: str
    userPassword: str
    client: Client = field(init=False)
    dummyCustomer: str
    dummy_customer_mapping: dict = field(default_factory=lambda: {'CTS':'CTS'})
    dear_warehouse: str
    dear_ship_after_3PL_shipment_date: bool

    def __post_init__(self):
        # 创建一个带有自定义TLS配置和重试机制的requests会话
        session = requests_retry_session()
        # 将此会话传递给Zeep的Transport
        transport = Transport(session=session, timeout=40, operation_timeout=40)
        self.client = Client(self.wsdl_url, transport=transport)

# 实际使用示例 (假设你有一个WSDL URL)
# ark_client = ArkH(
#     wsdl_url='https://www.handlingandfulfilment.co.uk:8079/YourService?wsdl',
#     consumerName='your_consumer',
#     passCode='your_passcode',
#     helixClientName='your_helix_client',
#     helixUsername='your_helix_username',
#     userPassword='your_user_password',
#     dummyCustomer='CTS',
#     dear_warehouse='main',
#     dear_ship_after_3PL_shipment_date=True
# )
# print("Zeep client initialized with custom TLS settings.")

注意事项与最佳实践

1. OpenSSL版本：确保你的Python环境使用的OpenSSL库是最新且安全的版本。Python的ssl模块通常会绑定到系统安装的OpenSSL库。
2. Cipher Suites选择：选择加密套件时，应优先考虑安全性和兼容性。openssl s_client是一个很好的起点，但应避免过度限制，除非有明确的安全要求。
3. 证书更新：certifi库应定期更新，以确保包含最新的可信CA证书。
4. 错误处理：即使配置了正确的TLS版本和加密套件，网络问题、服务器端配置变更等仍可能导致连接失败。在应用程序中实现健壮的错误处理和重试机制（如requests_retry_session所示）是必不可少的。
5. 调试：当遇到TLS问题时，启用requests和urllib3的调试日志可以提供详细的握手信息，帮助诊断问题：

   import logging
   logging.basicConfig()
   logging.getLogger().setLevel(logging.DEBUG)
   requests_log = logging.getLogger("requests.packages.urllib3")
   requests_log.setLevel(logging.DEBUG)
   requests_log.propagate = True

总结

解决Python requests或zeep连接中因TLS版本过旧导致的ConnectionResetError，关键在于显式地配置SSLContext。这包括禁用不安全的TLS协议版本（如TLSv1.0和TLSv1.1）、指定服务器支持的加密套件，以及利用certifi库确保正确的证书验证。通过创建自定义的HTTPAdapter并将其挂载到requests.Session上，可以优雅且一致地将这些安全配置应用到整个应用程序的HTTP/HTTPS请求中，从而提高连接的稳定性和安全性。