0

0

Python TLS 1.3 的强制升级检查

舞姬之光

舞姬之光

发布时间:2026-02-21 19:12:11

|

303人浏览过

|

来源于php中文网

原创

要确认python进程实际启用tls 1.3,需依次检查:ssl.openssl_version≥1.1.1、python动态链接openssl、连接后调用conn.version()获取真实协商版本;set_ciphers()若含tls 1.2套件会隐式禁用tls 1.3,须显式包含tls 1.3套件名。

python tls 1.3 的强制升级检查

如何确认 Python 进程实际启用的是 TLS 1.3

Python 本身不主动“强制升级”TLS 版本,它依赖底层 OpenSSL。你看到的 ssl.TLSVersion.TLSv1_3 只是常量,不代表运行时一定用上。真正起作用的是 OpenSSL 版本、Python 编译时链接的 OpenSSL、以及你是否显式配置了协议版本。

常见错误现象:ssl.SSLError: [SSL: UNSUPPORTED_PROTOCOL] 或明明代码写了 context.minimum_version = ssl.TLSVersion.TLSv1_3,但抓包发现还是 TLS 1.2。

  • 检查 OpenSSL 实际版本:python -c "import ssl; print(ssl.OPENSSL_VERSION)" —— 必须 ≥ 1.1.1(推荐 1.1.1w+ 或 3.0.0+)
  • 确认 Python 是动态链接 OpenSSL(非静态编译或自带旧版):ldd $(python -c "import sys; print(sys.executable)") | grep ssl
  • 运行时验证:在建立连接后,打印 conn.version()connssl.SSLSocket 实例),这才是真实协商结果

为什么 set_ciphers() 有时会禁用 TLS 1.3

TLS 1.3 的密码套件(cipher suites)和 TLS 1.2 完全不兼容,且 OpenSSL 默认只启用一组预定义的 1.3 套件(如 TLS_AES_256_GCM_SHA384)。一旦你调用 context.set_ciphers("...") 并传入含 TLS 1.2 套件的字符串(比如 "ECDHE+AESGCM"),OpenSSL 会自动关闭 TLS 1.3 支持——这是它的隐式行为,文档里藏得很深。

  • 安全场景下若需自定义套件,必须显式包含 TLS 1.3 套件名,例如:"TLS_AES_256_GCM_SHA384:ECDHE+AESGCM"
  • 更稳妥的做法是分两步:先用 context.set_ciphers("DEFAULT:@SECLEVEL=2"),再用 context.minimum_version = ssl.TLSVersion.TLSv1_3 强制最低版本
  • 注意:Python 3.10+ 中 set_ciphers() 对 TLS 1.3 的支持更稳定;3.7–3.9 需要 OpenSSL ≥ 1.1.1d 才能正确解析混合套件字符串

requests / urllib3 默认不启用 TLS 1.3?

不是默认“不启用”,而是它们复用系统默认 SSL 上下文,而该上下文的 minimum_version 通常设为 TLSv1TLSv1_2(取决于 Python 版本和 OpenSSL)。所以即使底层支持,也不会自动升到 1.3。

Cleanup.pictures
Cleanup.pictures

智能移除图片中的物体、文本、污迹、人物或任何不想要的东西

下载

立即学习Python免费学习笔记(深入)”;

  • requests 无法全局设置 TLS 版本,必须通过自定义 HTTPAdapter 注入 context:
  • import requests
    from requests.adapters import HTTPAdapter
    from urllib3.util.ssl_ import create_urllib3_context
    <p>class TLS13Adapter(HTTPAdapter):
    def init_poolmanager(self, *args, *<em>kwargs):
    context = create_urllib3_context()
    context.minimum_version = ssl.TLSVersion.TLSv1_3
    kwargs['ssl_context'] = context
    return super().init_poolmanager(</em>args, **kwargs)</p><p>s = requests.Session()
    s.mount("https://", TLS13Adapter())
  • urllib3 从 v1.26 开始支持 ssl_context 参数,但 v2.x 已移除旧接口,务必核对版本
  • 容易被忽略的点:DNS over HTTPS(DoH)客户端如 dnspython 也走 urllib3,同样受此限制

测试服务端是否真支持 TLS 1.3 的最简方式

别信文档,也别只看 curl 输出——curl 默认可能 fallback 到 1.2。用 Python 写个最小探测脚本,绕过所有高级封装,直连验证。

  • 关键点:必须禁用重协商、禁用 session 复用、指定 server_hostname,并捕获真实 version()
  • 示例(仅需标准库):
  • import socket, ssl
    <p>context = ssl.create_default_context()
    context.minimum_version = ssl.TLSVersion.TLSv1_3
    context.check_hostname = False
    context.verify_mode = ssl.CERT_NONE</p><p>with socket.create_connection(("example.com", 443)) as sock:
    with context.wrap_socket(sock, server_hostname="example.com") as ssock:
    print(ssock.version())  # 输出 TLSv1.3 或报错
  • 如果报 ssl.SSLError: [SSL: NO_CIPHERS_AVAILABLE],大概率是 OpenSSL 版本太低,或服务端只支持极少数 1.3 套件(如仅 TLS_CHACHA20_POLY1305_SHA256),此时需手动 set_ciphers

真正的难点不在代码怎么写,而在你根本不知道当前 Python 进程链接的是哪个 OpenSSL —— 容器里、conda 环境里、系统 PATH 里的 openssl 命令,和 Python 实际加载的 .so 文件,经常不是同一个。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
python中print函数的用法
python中print函数的用法

python中print函数的语法是“print(value1, value2, ..., sep=' ', end=' ', file=sys.stdout, flush=False)”。本专题为大家提供print相关的文章、下载、课程内容,供大家免费下载体验。

192

2023.09.27

python print用法与作用
python print用法与作用

本专题整合了python print的用法、作用、函数功能相关内容,阅读专题下面的文章了解更多详细教程。

13

2026.02.03

java基础知识汇总
java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友,请阅读本专题下面的的有关文章,欢迎大家来php中文网学习。

1555

2023.10.24

session失效的原因
session失效的原因

session失效的原因有会话超时、会话数量限制、会话完整性检查、服务器重启、浏览器或设备问题等等。详细介绍:1、会话超时:服务器为Session设置了一个默认的超时时间,当用户在一段时间内没有与服务器交互时,Session将自动失效;2、会话数量限制:服务器为每个用户的Session数量设置了一个限制,当用户创建的Session数量超过这个限制时,最新的会覆盖最早的等等。

329

2023.10.17

session失效解决方法
session失效解决方法

session失效通常是由于 session 的生存时间过期或者服务器关闭导致的。其解决办法:1、延长session的生存时间;2、使用持久化存储;3、使用cookie;4、异步更新session;5、使用会话管理中间件。

773

2023.10.18

cookie与session的区别
cookie与session的区别

本专题整合了cookie与session的区别和使用方法等相关内容,阅读专题下面的文章了解更详细的内容。

97

2025.08.19

curl_exec
curl_exec

curl_exec函数是PHP cURL函数列表中的一种,它的功能是执行一个cURL会话。给大家总结了一下php curl_exec函数的一些用法实例,这个函数应该在初始化一个cURL会话并且全部的选项都被设置后被调用。他的返回值成功时返回TRUE, 或者在失败时返回FALSE。

452

2023.06.14

linux常见下载安装工具
linux常见下载安装工具

linux常见下载安装工具有APT、YUM、DNF、Snapcraft、Flatpak、AppImage、Wget、Curl等。想了解更多linux常见下载安装工具相关内容,可以阅读本专题下面的文章。

182

2023.10.30

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

916

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
最新Python教程 从入门到精通
最新Python教程 从入门到精通

共4课时 | 22.4万人学习

Django 教程
Django 教程

共28课时 | 4.4万人学习

SciPy 教程
SciPy 教程

共10课时 | 1.6万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号