~ubuntu-branches/ubuntu/trusty/jockey/trusty

« back to all changes in this revision

Viewing changes to jockey/verified_https.py

  • Committer: Bazaar Package Importer
  • Author(s): Martin Pitt
  • Date: 2011-03-08 16:08:06 UTC
  • mfrom: (2.1.31 upstream)
  • Revision ID: james.westby@ubuntu.com-20110308160806-udbldxcrfk734zsi
Tags: 0.9.2-0ubuntu1
* New upstream bug fix release:
  - Add X.org video driver ABI checking. (This was already cherrypicked
    in an earlier upload)
  - Drop our own verified_https.py and implement GPG fingerprint SSL
    checking with pycurl, which gets along with proxies. (LP: #729185)
  - Some code cleanup and more test cases.
* debian/control: Add python-pycurl dependency.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
'''urllib2.HTTPSHandler which verifies the server SSL certificate.
2
 
 
3
 
Adapted from http://stackoverflow.com/questions/1087227/validate-ssl-certificates-with-python
4
 
'''
5
 
 
6
 
# (c) 2011 Canonical Ltd.
7
 
#
8
 
# This program is free software; you can redistribute it and/or modify
9
 
# it under the terms of the GNU General Public License as published by
10
 
# the Free Software Foundation; either version 2 of the License, or
11
 
# (at your option) any later version.
12
 
#
13
 
# This program is distributed in the hope that it will be useful,
14
 
# but WITHOUT ANY WARRANTY; without even the implied warranty of
15
 
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16
 
# GNU General Public License for more details.
17
 
#
18
 
# You should have received a copy of the GNU General Public License along
19
 
# with this program; if not, write to the Free Software Foundation, Inc.,
20
 
# 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
21
 
 
22
 
import httplib, re, socket, urllib2, ssl
23
 
 
24
 
class InvalidCertificateException(httplib.HTTPException, urllib2.URLError):
25
 
    '''Raised if VerifiedHTTPSHandler fails to verify the server SSL cert.'''
26
 
 
27
 
    def __init__(self, host, cert, reason):
28
 
        httplib.HTTPException.__init__(self)
29
 
        self.host = host
30
 
        self.cert = cert
31
 
        self.reason = reason
32
 
 
33
 
    def __str__(self):
34
 
        return ('Host %s returned an invalid certificate (%s)\n%s' %
35
 
                (self.host, self.reason, self.cert))
36
 
 
37
 
class VerifiedHTTPSHandler(urllib2.HTTPSHandler):
38
 
    '''HTTPSHandler which verifies the validity of the server SSL cert.
39
 
 
40
 
    If the host name does not match, or the certificate is invalid, this raises
41
 
    a VerifiedHTTPSHandler exception.
42
 
 
43
 
    Usage:
44
 
 
45
 
      opener = urllib2.build_opener(VerifiedHTTPSHandler(ca_certs='path/to/certificates.pem')
46
 
      f = opener.open('https://server/file.html')
47
 
    '''
48
 
 
49
 
    def __init__(self, **kwargs):
50
 
        '''Create a verified HTTPS Handler.
51
 
 
52
 
        This needs a "ca_certs" argument which is passed to ssl.wrap_socket();
53
 
        this is a file with all certificates that should be checked against.
54
 
        '''
55
 
        urllib2.AbstractHTTPHandler.__init__(self)
56
 
        self._connection_args = kwargs
57
 
 
58
 
    def https_open(self, req):
59
 
        def http_class_wrapper(host, **kwargs):
60
 
            full_kwargs = dict(self._connection_args)
61
 
            full_kwargs.update(kwargs)
62
 
            return _CertValidatingHTTPSConnection(host, **full_kwargs)
63
 
 
64
 
        try:
65
 
            return self.do_open(http_class_wrapper, req)
66
 
        except urllib2.URLError as e:
67
 
            if type(e.reason) == ssl.SSLError and e.reason.args[0] == 1:
68
 
                raise InvalidCertificateException(req.host, '',
69
 
                                                  e.reason.args[1])
70
 
            raise
71
 
 
72
 
    https_request = urllib2.HTTPSHandler.do_request_
73
 
 
74
 
class _CertValidatingHTTPSConnection(httplib.HTTPConnection):
75
 
    default_port = httplib.HTTPS_PORT
76
 
 
77
 
    def __init__(self, host, port=None, ca_certs=None, strict=None, **kwargs):
78
 
        httplib.HTTPConnection.__init__(self, host, port, strict, **kwargs)
79
 
        self.ca_certs = ca_certs
80
 
 
81
 
    def _validate_certificate_hostname(self, cert, hostname):
82
 
        '''Check if the certificate matches the hostname.'''
83
 
 
84
 
        if 'subjectAltName' in cert:
85
 
            hosts = [x[1] for x in cert['subjectAltName'] if x[0].lower() == 'dns']
86
 
        else:
87
 
            hosts = [x[0][1] for x in cert['subject'] if x[0][0].lower() == 'commonname']
88
 
 
89
 
        for host in hosts:
90
 
            host_re = host.replace('.', '\.').replace('*', '[^.]*') + '$'
91
 
            if re.match(host_re, hostname, re.I):
92
 
                return True
93
 
        return False
94
 
 
95
 
    def connect(self):
96
 
        sock = socket.create_connection((self.host, self.port))
97
 
        self.sock = ssl.wrap_socket(sock, cert_reqs=ssl.CERT_REQUIRED,
98
 
                                          ca_certs=self.ca_certs)
99
 
        cert = self.sock.getpeercert()
100
 
        hostname = self.host.split(':', 0)[0]
101
 
        if not self._validate_certificate_hostname(cert, hostname):
102
 
            raise InvalidCertificateException(hostname, cert,
103
 
                                              'hostname mismatch')
104