Python爬虫SSL报错解决方法

本文深入解析了Python中requests库遭遇SSL证书错误（如SSLCertVerificationError或连接失败）的根本原因——自签名、过期证书或根证书信任链缺失，并强调默认严格校验的安全设计初衷；文章明确反对在生产环境中使用verify=False这一危险“捷径”，转而系统性地介绍了三种verify参数取值的真实语义与适用场景，重点演示了如何通过指定PEM格式CA证书路径安全、精准地信任内网或测试服务的自签名证书，同时提醒读者注意证书链完整性、系统时间同步、certifi更新及PyInstaller打包等易被忽视的关键细节，帮助开发者在保障通信安全的前提下彻底解决SSL验证难题。

requests请求报SSL证书错误：ConnectionError或SSLError

直接原因是服务器用了自签名证书、过期证书，或系统缺少根证书信任链。requests默认严格校验证书，不接受任何异常，所以会抛出requests.exceptions.SSLCertVerificationError或底层ssl.SSLCertVerificationError。

常见现象包括：requests.exceptions.ConnectionError: SSL certificate verify failed，或者更具体的CertificateError: hostname 'xxx' doesn't match either of ...。

• 最快速但**不安全**的绕过方式是设verify=False，但会触发InsecureRequestWarning警告，且完全放弃证书校验，中间人攻击风险高
• 推荐做法是让requests信任你所需的证书——要么把证书路径传给verify参数，要么把证书内容加入系统/Python的证书包（如certifi）
• Windows用户常遇到certifi证书过期问题，可运行pip install --upgrade certifi更新，而非关验证

verify参数的三种取值及实际效果

verify不是布尔开关，而是有明确语义的三态控制：

• verify=True（默认）：使用requests内置证书包（通常是certifi提供的certifi.where()路径），校验完整证书链和域名匹配
• verify=False：跳过所有SSL校验，包括证书有效性、域名一致性、过期时间——仅限本地调试，生产环境禁用
• verify="/path/to/cert.pem"：指定PEM格式证书文件路径，requests会用它替代默认证书包；适用于内网服务、测试环境自签名证书

注意：verify不能指向目录，也不能是CRT或CER二进制格式；必须是PEM文本，且包含完整的CA证书链（单个服务器证书不够）。

requests + 自签名证书：如何正确配置verify

比如你对接的是内网https://192.168.1.100:8443，它用自签名证书，浏览器访问时要点“继续前往”。这时不能只关验证，而应提取并信任该证书。

• 用浏览器导出证书（Chrome → 地址栏锁图标 → 连接 → 证书 → 详细信息 → 复制到文件 → Base64编码的X.509）
• 保存为my-ca.pem，确保开头是-----BEGIN CERTIFICATE-----，结尾是-----END CERTIFICATE-----
• 代码中写requests.get("https://192.168.1.100:8443", verify="/path/to/my-ca.pem")
• 如果证书链不全（比如缺中间CA），仍会失败；可用openssl s_client -connect 192.168.1.100:8443 -showcerts确认完整链并合并到PEM中

verify=False的副作用不止是警告

关掉证书验证看似省事，但容易埋下隐性坑：

• HTTP/2连接可能直接失败（某些h2实现强制要求TLS验证）
• 某些代理（如mitmproxy、Fiddler）在启用HTTPS拦截时，若没配好客户端信任，verify=False反而让requests连不上代理
• PyInstaller打包后，verify=False有时会因缺失SSL上下文导致AttributeError: 'NoneType' object has no attribute 'wrap_socket'
• 如果你用session = requests.Session()，记得每个session.get()都要显式传verify=...，因为session.verify属性不可靠（requests 2.25+已弃用）

真正需要绕过验证的场景极少，多数时候是证书路径没对、链不全、或系统时间错位——先查date和openssl x509 -in cert.pem -text -noout | grep -A1 "Validity"再动手关验证。

本篇关于《Python爬虫SSL报错解决方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！