pip项目中SSL证书验证在网络中转环境下的问题分析

问题背景

在Python包管理工具pip的最新版本25.0.1中，当用户在使用网络中转服务器(HTTP_PROXY/HTTPS_PROXY)并启用truststore进行SSL证书验证时，可能会遇到证书验证失败的问题。具体表现为pip在尝试连接PyPI服务器时抛出"CERTIFICATE_VERIFY_FAILED"错误，提示无法获取本地颁发者证书。

问题现象

用户在网络中转环境执行pip安装命令时，系统会报出如下警告信息：

WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1007)'))': /simple/scipy/

技术分析

正常流程分析

在标准的pip工作流程中，SSL证书验证通常遵循以下步骤：

1. pip会创建一个信任存储(truststore)的SSL上下文(ssl_context)
2. 这个上下文会被传递给PipSession对象
3. 根据配置，PipSession会使用HTTPAdapter或CacheControlAdapter
4. 适配器初始化时会创建连接池管理器(PoolManager)
5. 连接池管理器会将SSL上下文保存起来用于后续连接

问题根源

当系统配置了网络中转服务器时，问题出现在请求适配器的处理流程中：

1. 虽然初始化的PoolManager正确保存了SSL上下文
2. 但在构建连接池键属性时，SSL上下文没有被包含在pool_kwargs中
3. 当检测到中转配置时，系统会创建一个新的ProxyManager
4. 由于SSL上下文信息丢失，ProxyManager无法正确进行证书验证

深层原因

问题的本质在于requests适配器层在处理中转连接时的上下文传递不完整。具体表现为：

• 初始PoolManager正确接收并保存了SSL上下文
• 但在中转环境下创建ProxyManager时，关键的SSL验证参数没有从原始PoolManager传递到新的ProxyManager
• 导致虽然verify=True，但实际缺少有效的SSL上下文进行证书验证

临时解决方案

目前用户可以通过以下方式临时解决该问题：

1. 设置环境变量SSL_CERT_FILE指向有效的CA证书文件
2. 或者手动修改requests适配器代码，确保pool_kwargs包含原始PoolManager的connection_pool_kwargs

影响范围

该问题主要影响：

• 使用pip 25.0.1版本
• 在网络中转环境下工作
• 启用了truststore进行证书验证
• 特定OpenSSL配置的环境

技术建议

对于开发者而言，正确的修复方案应该确保：

1. SSL上下文在中转和非中转环境下都能正确传递
2. PoolManager和ProxyManager之间的参数传递要完整
3. 证书验证逻辑要保持一致性

总结

pip在网络中转环境下处理SSL证书验证时存在参数传递不完整的问题，这导致系统信任存储无法正确用于证书验证。虽然目前有临时解决方案，但需要pip开发团队在底层请求处理逻辑中进行修复，确保SSL上下文在各种网络配置下都能正确传递和使用。