Почему сертификат letsencrypt в python3 считается как self-sign?

Question

akelsey @akelsey

Почему сертификат letsencrypt в python3 считается как self-sign?

Подключаюсь к своему ElasticSearch который опубликован с сертификатом LetsEncrypt, таким образом:

from elasticsearch import Elasticsearch
#import urllib3
#urllib3.disable_warnings()

es = Elasticsearch(
    host='elastic.********.ru',
    http_auth=('******', '*********'),
    use_ssl=True,
    #verify_certs=False,
    port=9200,
)

Понятно что если задействовать "verify_certs=False," - то всё ок - он подключится, но если нет, он считает что сертификат самоподписанный, ошибка:

C:/Users/Aleksey/AppData/Local/Programs/Python/Python38/python.exe d:/Personal/MyDocuments/_Python/Projects/Aihr/AIHR_PrepareRecommendation.py
Traceback (most recent call last):
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\site-packages\urllib3\connectionpool.py", line 670, in urlopen       
    httplib_response = self._make_request(
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\site-packages\urllib3\connectionpool.py", line 381, in _make_request 
    self._validate_conn(conn)
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\site-packages\urllib3\connectionpool.py", line 978, in _validate_conn
    conn.connect()
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\site-packages\urllib3\connection.py", line 362, in connect
    self.sock = ssl_wrap_socket(
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\site-packages\urllib3\util\ssl_.py", line 384, in ssl_wrap_socket
    return context.wrap_socket(sock, server_hostname=server_hostname)
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\ssl.py", line 500, in wrap_socket
    return self.sslsocket_class._create(
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\ssl.py", line 1040, in _create
    self.do_handshake()
  File "C:\Users\Aleksey\AppData\Local\Programs\Python\Python38\lib\ssl.py", line 1309, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1123)

Внимание вопрос, где python3 хранит свой trusted root лист - поведение при подключении к эндпоинту одинаковое как под windows python так и на python под ubuntu 18.04. Проверял при помощи openssl - сертификат доверенный и правильный, в браузере тоже всё ок.
Где что подправить что б python доверял сертифам выпущенным letsencrypt?

Вопрос задан более трёх лет назад
276 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Python

Простой
Как узнать расширение файла, если у него нет имени?
- 1 подписчик
- 4 часа назад
- 78 просмотров
1

ответ
Python

Простой
Сгенерировать промежуточные координаты?
- 2 подписчика
- 9 часов назад
- 205 просмотров
4

ответа
Python

+4 ещё

Простой
Как получить баланс карты сбербанк?
- 1 подписчик
- 13 часов назад
- 196 просмотров
4

ответа
Python

+2 ещё

Простой
Как исправить ошибку при установке psd-tools «\meson.build:1:0: ERROR: Compiler cl cannot compile programs»?
- 1 подписчик
- 15 часов назад
- 105 просмотров
1

ответ
Python

Средний
LaTeX в python. Что использовать в 2025 году?
- 1 подписчик
- вчера
- 73 просмотра
1

ответ
Python

+1 ещё

Средний
Как прогнозировать цены монет с помощью python?
- 1 подписчик
- вчера
- 118 просмотров
1

ответ
Python

+1 ещё

Простой
Как профилировать память работающего fastapi-приложения на python?
- 1 подписчик
- вчера
- 42 просмотра
0

ответов
Python

+2 ещё

Простой
Google Chrome блокирует скачивание файла. Возможно ли отключить?
- 1 подписчик
- вчера
- 140 просмотров
1

ответ
Python

+1 ещё

Простой
Как использовать проекты с GitHub?
- 1 подписчик
- вчера
- 117 просмотров
0

ответов
Python

+1 ещё

Простой
Как пройти двухфакторную авторизацию (2FA) с модулем Telethon?
- 1 подписчик
- вчера
- 49 просмотров
0

ответов
Показать ещё Загружается…

Senior Python Developer (Кипр)

Wanted. • Лимассол

До 6 000 €

Python разработчик

Гринатом • Москва

от 150 000 ₽

Python разработчик (офис)

SpectrumData • Екатеринбург

от 150 000 до 250 000 ₽

Консультация по созданию математических графиков в Cinema 4D

27 нояб. 2024, в 01:38

2000 руб./за проект

Дизайн трекера для учета задач и времени

27 нояб. 2024, в 01:05

250000 руб./за проект

Исправление в битрикс подключенной библиотеки и обновление метода

27 нояб. 2024, в 00:22

1500 руб./в час

Answer 1 · 2020-09-07 12:58:13

Почитайте документацию:

CA certificates

If you are going to require validation of the other side of the connection’s certificate, you need to provide a “CA certs” file, filled with the certificate chains for each issuer you are willing to trust. Again, this file just contains these chains concatenated together. For validation, Python will use the first chain it finds in the file which matches. The platform’s certificates file can be used by calling SSLContext.load_default_certs(), this is done automatically with create_default_context().

Да посмотрите откуда берутся корневые сертификаты в вашем случае:

SSLContext.load_default_certs(purpose=Purpose.SERVER_AUTH)¶
Load a set of default “certification authority” (CA) certificates from default locations. On Windows it loads CA certs from the CA and ROOT system stores. On other systems it calls SSLContext.set_default_verify_paths(). In the future the method may load CA certificates from other locations, too.

The purpose flag specifies what kind of CA certificates are loaded. The default settings Purpose.SERVER_AUTH loads certificates, that are flagged and trusted for TLS web server authentication (client side sockets). Purpose.CLIENT_AUTH loads CA certificates for client certificate verification on the server side.

Почему сертификат letsencrypt в python3 считается как self-sign?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт