Requests库SSL握手失败问题分析与解决方案

在Python生态中，Requests作为最流行的HTTP客户端库之一，其2.31.0版本发布后，部分用户反馈在访问特定HTTPS站点时出现"SSLV3_ALERT_HANDSHAKE_FAILURE"错误。本文将从技术角度深入剖析该问题的成因，并提供专业解决方案。

问题现象

当使用Requests 2.31.0访问某些HTTPS端点时（如印度铁路订票系统），会抛出以下异常：

requests.exceptions.SSLError: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure

值得注意的是，该问题在Requests 2.29.0及以下版本中不会出现。

根本原因分析

经过技术排查，发现问题的核心并非Requests 2.31.0本身的功能变更，而是源于以下技术栈的协同工作：

1. urllib3版本依赖：Requests 2.30.0+开始适配urllib3 2.0+版本，后者对SSL处理机制进行了重要调整
2. OpenSSL策略变更：urllib3 2.0不再使用固定的加密套件列表，而是完全依赖系统OpenSSL的默认配置
3. 服务端兼容性：部分老旧服务器可能仅支持特定的SSL/TLS协议版本或加密套件

技术解决方案

方案一：自定义SSL上下文（推荐）

对于需要保持高版本Requests的情况，可以通过配置自定义SSL上下文来解决兼容性问题：

import requests
import ssl
from urllib3.util.ssl_ import create_urllib3_context

class CustomAdapter(requests.adapters.HTTPAdapter):
    def init_poolmanager(self, *args, **kwargs):
        context = create_urllib3_context()
        context.options |= ssl.OP_NO_SSLv3  # 禁用不安全的SSLv3
        kwargs['ssl_context'] = context
        return super().init_poolmanager(*args, **kwargs)

session = requests.Session()
session.mount('https://', CustomAdapter())
response = session.get('https://目标站点')

方案二：版本降级（临时方案）

如果急需快速解决问题，可以暂时降级到兼容性更好的版本：

pip install requests==2.30.0

深入技术建议

1. 服务端升级：长期来看，建议服务端升级TLS配置，支持现代加密标准
2. 客户端健壮性：在客户端代码中添加SSL异常处理逻辑，增强容错能力
3. 安全审计：定期检查SSL/TLS配置，确保既兼容又安全

总结

SSL握手失败问题本质上是加密协议协商过程中的兼容性问题。通过理解Requests底层依赖的SSL处理机制，开发者可以灵活选择最适合自己业务场景的解决方案。建议优先采用自定义SSL上下文的方案，既能保持库的最新版本，又能解决特定站点的兼容性问题。