Python SSL证书验证失败：7种实用解决方案

requests.exceptions.SSLError: HTTPSConnectionPool(host='example.com', port=443)

原因分析

SSL验证失败通常由以下原因引起：

• 自签名证书
• 证书链不完整
• 系统根证书过期
• 域名不匹配
• Python环境缺少CA证书包

解决方案

方法1：临时禁用SSL验证（开发环境）

在requests库中关闭证书验证：

import requests

response = requests.get('https://example.com', verify=False)

注意： 生产环境禁用验证会带来安全风险

方法2：添加自定义证书

使用服务器提供的证书文件：

response = requests.get(
    'https://example.com',
    verify='/path/to/custom_certificate.pem'
)

方法3：更新根证书包

安装/更新certifi证书包：

pip install --upgrade certifi

在代码中指定证书路径：

import certifi
import requests

response = requests.get('https://example.com', verify=certifi.where())

方法4：添加环境变量

设置REQUESTS_CA_BUNDLE环境变量：

# Linux/macOS
export REQUESTS_CA_BUNDLE="/etc/ssl/certs/ca-certificates.crt"

# Windows
set REQUESTS_CA_BUNDLE="C:\path\to\cacert.pem"

方法5：更新Python证书库

使用系统证书存储：

# Ubuntu/Debian
sudo apt-get install ca-certificates

# CentOS/RHEL
sudo yum install ca-certificates

方法6：urllib解决方案

对于标准库urllib：

import ssl
import urllib.request

# 创建未验证的上下文
context = ssl._create_unverified_context()

response = urllib.request.urlopen('https://example.com', context=context)

方法7：永久添加证书到系统

将证书添加到系统信任库：

# Ubuntu/Debian
sudo cp custom_cert.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

# Windows
certutil -addstore "Root" custom_cert.crt

最佳实践建议

1. 生产环境始终保持SSL验证开启
2. 优先使用certifi包管理证书
3. 定期更新操作系统证书存储
4. 对于内部系统，使用正规CA签发的证书而非自签名