我的任务是创建一个安全通信的套接字服务器和客户端。我必须使用 TLS 1.1 或 1.2 来避免 BEAST 攻击。我们得到了 Python 2.6 版本,但这不支持 TLS 1.1 或 1.2。
你们知道是否有任何外部库在 Python 2.6 中实现了这一点,或者我最好使用增加了支持的 Python 3.4 开发版本?
问问题
5964 次
1 回答
3
通过快速测试,如果您pyOpenSSL在 OpenSSL 1.0.1 之上构建,您似乎获得了 TLSv1.1 和 1.2 支持。它支持 Python 2.6+/3.2+。
API 与 stockssl模块不同,但Connection对象ssl.SSLSocket与 .
在当前发布的 0.13.1 版本中,隐含 TLS 1.1 和 1.2 支持,但无法显式请求或要求它们。您可以从客户端做的最好的事情是设置SSLv23_METHOD添加OP_NO_SSLv2和OP_NO_SSLv3选项,以保证 TLS 1.0、1.1 或 1.2。我还没有测试过你可以从服务器端做什么。
使用主干代码(#1020632中的补丁已提交),有明确的 1.1 和 1.2 支持。从客户端,您可以使用TLSv1_1_METHOD仅TLSv1_2_METHOD获取 TLSv1.1,仅获取 TLSv1.2,并且可能(我尚未测试)SSLv23_METHOD使用OP_NO_SSLv2,OP_NO_SSLv3和OP_NO_TLSv1获取 1.1 或 1.2。同样,我还没有测试你可以从服务器端做什么。
您应该能够pip install bzr+lp:pyopenssl安装后备箱;如果没有,请查看或下载当前的 tarball 等pip install。
我的猜测是,当使用正确构建的 pyOpenSSL 0.13.1 和 OpenSSL 1.0.0 或更高版本时,您可以编写始终获得 1.2 的代码,但如果客户端或服务器环境的构建方式不t 满足这些要求,并且无法检测到问题。如果您希望连接失败而不是在这种情况下回退(您可能会这样做),看起来您需要更新的 pyOpenSSL。
这是我在安装了 Homebrew 的大部分干净的 OS X 10.8.5 机器上进行的第一次测试pip:
$ brew install --universal openssl
$ sudo LDFLAGS=-L/usr/local/opt/openssl/lib CPPFLAGS=-I/usr/local/opt/openssl/include pip-2.6 install pyOpenSSL
$ python2.6
>>> import socket, OpenSSL
>>> OpenSSL.SSL.SSLeay_version(OpenSSL.SSL.SSLEAY_VERSION)
'OpenSSL 1.0.1e 11 Feb 2013'
>>> ctx = OpenSSL.SSL.Context(OpenSSL.SSL.SSLv23_METHOD)
>>> sock = socket.socket()
>>> ssock = OpenSSL.SSL.Connection(ctx, sock)
>>> ssock.connect_ex(('www.ssllabs.com', 443))
0
>>> ssock.send('GET /ssltest/viewMyClient.html HTTP/1.1\r\nHost: www.ssllabs.com\r\n\r\n')
66
>>> ssock.recv(16384)
-- snipped headers for chunked reply
>>> ssock.recv(16384)
'2000\r\n'
>>> d = ssock.recv(16384)
>>> d.find('TLS 1.1')
2324
>>> d.find('TLS 1.0')
2432
>>> d[2324:2432]
'TLS 1.1</td>\r\n\t\t<td class="tableRight">Yes</td>\t\t\t\r\n\t</tr>\r\n\t<tr class="tableRow">\r\n\t\t<td class="tableLeft">'
这证明(假设 ssltest.org 是正确的)我们不仅声称支持 TLS 1.1,而且还建立了 1.2 或 1.1 连接。
于 2013-10-23T18:36:37.483 回答