VCR.py 项目在 Python 3.13 中的 SSL 证书验证问题解析

问题背景

在 Python 3.13.0 beta 版本测试过程中，VCR.py 项目遇到了多个 HTTPS 相关的测试失败。这些失败表现为 SSL 证书验证错误，具体错误信息为"Missing Authority Key Identifier"。这一问题主要影响了与 pytest-httpbin 集成的测试用例。

错误现象

测试失败的具体表现是，当 VCR.py 尝试通过 HTTPS 与测试服务器建立连接时，Python 3.13 的 SSL 模块会抛出 SSLCertVerificationError 异常。错误信息明确指出证书验证失败的原因是缺少权威密钥标识符(AKI)。

受影响的测试用例包括：

• 测试响应码获取
• 测试响应头信息获取
• 测试 GET 和 POST 数据传输
• 测试 Unicode 数据 POST
• 测试装饰器功能
• 测试跨协议请求

根本原因

这一问题源于 Python 3.13 对 SSL/TLS 证书验证的强化。新版本对证书链的验证更加严格，特别是要求证书必须包含权威密钥标识符扩展字段。而 pytest-httpbin 使用的自签名测试证书不符合这一新要求。

解决方案

经过项目维护者的调查，确认问题出在 pytest-httpbin 使用的硬编码证书上。正确的解决方案是改用 trustme 库动态生成符合要求的测试证书，而不是使用静态的硬编码证书。

pytest-httpbin 2.1.0 版本已经包含了这一修复。升级到该版本后，VCR.py 的所有测试用例在 Python 3.13 环境下都能正常通过。

技术建议

对于依赖自签名证书进行测试的项目，建议：

1. 避免使用静态硬编码的测试证书
2. 采用 trustme 等库动态生成符合最新安全要求的证书
3. 定期检查测试证书是否符合最新的安全标准
4. 在 CI 环境中测试即将发布的 Python 版本，提前发现兼容性问题

总结

Python 3.13 对 SSL/TLS 证书验证的强化是一个积极的安全改进，但同时也可能影响依赖自签名证书的测试套件。VCR.py 项目通过依赖 pytest-httpbin 的更新解决了这一问题，展示了良好的生态系统协作。这一案例也提醒开发者需要关注测试基础设施的维护，确保其与语言运行时的安全要求保持同步。