<p>最后的解决方案见本文末尾。剩下的是调试问题所需的步骤。</p>
<blockquote>
<p>I try to connect to a FTP Server which only supports TLS 1.2 Using Python 3.4.1</p>
</blockquote>
<p>你怎么知道的?</p>
<blockquote>
<p>ssl.SSLEOFError: EOF occurred in violation of protocol (_ssl.c:598)</p>
</blockquote>
<p>我建议客户机和服务器之间的许多SSL问题中的一个,比如服务器不支持TLS 1.2,没有公共密码等等。这些问题很难调试,因为您要么只得到一些SSL警报,要么服务器会在没有任何明显原因的情况下简单地关闭连接。如果您有权访问服务器,请在服务器端查找错误消息。</p>
<p>您也可以尝试不强制使用SSL版本,而是使用默认版本,以便客户机和服务器都同意最佳SSL版本的支持。如果仍然不起作用,请尝试使用已知与此服务器一起工作的客户端,并对连接的好坏进行数据包捕获和比较。如果您需要帮助,请将数据包捕获发布到cloudshark.org。</p>
<p>编辑1:在python 3.4.0和3.4.2中对测试服务器进行了尝试:</p>
<ul>
<li>python 3.4.0执行TLS 1.0握手,即忽略设置</li>
<li>python 3.4.2成功地完成了TLS 1.2握手</li>
</ul>
<p>在这两个版本中,ftplib都有一个小错误,即它发送<code>AUTH SSL</code>,而不是<code>AUTH TLS</code>,如果<code>ftps.ssl_version</code>是其他东西,则发送TLS1.0,即SSLv3或TLS1.1.+。虽然我怀疑这是问题的根源,但实际上可能是FTP服务器处理<code>AUTH TLS</code>和<code>AUTH SSL</code>的方式不同。</p>
<p><strong>编辑2和解决方案:</strong></p>
<p>数据包捕获显示设置<code>ftps.ssl_version</code>没有效果,SSL握手仍将仅使用TLS 1.0完成。查看3.4.0中ftplib的源代码可以得到:</p>
<pre><code> ssl_version = ssl.PROTOCOL_TLSv1
def __init__(self, host='', user='', passwd='', acct='', keyfile=None,
certfile=None, context=None,
timeout=_GLOBAL_DEFAULT_TIMEOUT, source_address=None):
....
if context is None:
context = ssl._create_stdlib_context(self.ssl_version,
certfile=certfile,
keyfile=keyfile)
self.context = context
</code></pre>
<p>由于在调用<code>ftplib.FTP_TLS()</code>时调用<code>__init__</code>,因此将使用ftplib(<code>ssl.PROTOCOL_TLSv1</code>)使用的默认<code>ssl_version</code>创建SSL上下文,而不是使用您自己的版本。要强制实施另一个SSL版本,您必须为自己的上下文提供所需的SSL版本。以下对我有效:</p>
<pre><code>import ftplib
import ssl
ctx = ssl._create_stdlib_context(ssl.PROTOCOL_TLSv1_2)
ftps = ftplib.FTP_TLS(context=ctx)
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))
</code></pre>
<p>或者,您可以全局设置协议版本,而不是仅为此FTP\u TLS对象设置协议版本:</p>
<pre><code>ftplib.FTP_TLS.ssl_version = ssl.PROTOCOL_TLSv1_2
ftps = ftplib.FTP_TLS()
</code></pre>
<p>还有一个很小但很重要的观察:看起来ftplib不进行任何类型的证书验证,因为它接受这个与名称不匹配的自签名证书,而且毫无怨言。这使得一个活跃的中间人攻击成为可能。希望他们将来能修复这种不安全的行为,在这种情况下,这里的代码会因为一个无效的证书而失败。</p>