PythonSSL证书验证失败怎么解决

本文深入解析了Python中HTTPS请求遭遇SSL证书验证失败的常见原因与系统性解决方案，强调安全第一原则：优先通过更新系统CA证书、升级certifi库、校验并正确配置证书路径来修复根本问题，而非简单禁用验证；同时明确区分开发调试（可临时绕过）与生产环境（严禁跳过）的不同处理策略，并详细指导如何合规地将自签名或内网CA证书纳入信任链，帮助开发者构建既安全又稳定的HTTPS通信基础。

Python请求HTTPS网站时提示SSL证书验证失败，通常是因为系统缺少根证书、证书过期、或使用了自签名证书。最安全的做法是修复证书环境，而不是直接禁用验证。

检查系统证书存储是否正常

Python依赖操作系统的CA证书包（如Linux的ca-certificates、macOS的Keychain、Windows的证书管理器）。如果系统证书过期或损坏，requests/urllib会报错。

• Linux用户可运行 sudo update-ca-certificates 更新证书
• macOS用户可打开“钥匙串访问”，搜索“DST Root CA X3”或“ISRG Root X1”，确认未被手动禁用
• Windows用户可运行 certmgr.msc 检查“受信任的根证书颁发机构”列表是否完整

升级Python和相关库

旧版本Python（如3.6以下）或过时的certifi包可能不包含最新根证书。

• 升级certifi：pip install --upgrade certifi
• 检查certifi路径：python -c "import certifi; print(certifi.where())"，确认返回的是有效PEM文件路径
• 必要时手动指定证书路径：requests.get(url, verify="/path/to/certifi/cacert.pem")

临时绕过验证（仅限开发/测试）

生产环境严禁跳过SSL验证。若仅为本地调试，可用以下方式临时关闭校验：

• requests中加参数：verify=False（会警告，可加urllib3.disable_warnings()抑制）
• 设置环境变量：export PYTHONHTTPSVERIFY=0（Linux/macOS）或 set PYTHONHTTPSVERIFY=0（Windows）
• urllib中传入context=ssl._create_unverified_context()（不推荐，易被忽略安全风险）

处理自签名或内网证书

企业内网或测试服务常用自签名证书，应将对应CA证书添加到信任链，而非全局禁用验证。

• 把公司CA证书（.crt或.pem）追加到certifi默认证书文件末尾
• 或单独保存为my-ca-bundle.pem，然后在代码中指定：verify="/path/to/my-ca-bundle.pem"
• requests支持通过REQUESTS_CA_BUNDLE环境变量统一指定证书路径

基本上就这些。重点不是“怎么关掉验证”，而是“让验证能正常工作”。多数问题出在证书源陈旧或路径不对，修复后既安全又稳定。

以上就是《PythonSSL证书验证失败怎么解决》的详细内容，更多关于的资料请关注golang学习网公众号！