GitHub Actions中setup-python项目处理Python 3.5证书验证失败的解决方案

问题背景

近期在使用GitHub Actions的setup-python项目安装Python 3.5版本时，许多用户遇到了SSL证书验证失败的问题。这个问题表现为在安装过程中，pip无法验证PyPI服务器的SSL证书，导致安装失败。错误信息通常显示为"SSL: CERTIFICATE_VERIFY_FAILED"。

技术原因分析

这个问题的根本原因在于Python 3.5已经停止维护，其内置的SSL模块无法正确验证PyPI服务器更新后的SSL证书。PyPI服务器近期可能更新了其SSL配置，采用了更现代的加密标准或证书链，而Python 3.5中的SSL实现无法处理这些新变化。

值得注意的是，这个问题不仅影响Python 3.5，同样会影响其他较旧的Python版本，如Python 3.4等。这主要是因为较旧版本的Python使用的OpenSSL库版本较低，无法识别新的证书颁发机构或加密算法。

解决方案

对于必须使用Python 3.5的开发环境，目前有以下几种解决方案：

1. 使用PIP_TRUSTED_HOST环境变量

这是目前最直接的解决方案。通过在GitHub Actions工作流中添加环境变量配置，可以绕过SSL证书验证：

- uses: actions/setup-python@v5
  with:
    python-version: 3.5
  env:
    PIP_TRUSTED_HOST: "pypi.python.org pypi.org files.pythonhosted.org"

这种方法告诉pip信任指定的主机，即使SSL证书验证失败也继续执行。需要注意的是，这会降低安全性，使系统容易受到中间人攻击。

2. 升级到支持的Python版本

从安全角度考虑，最佳解决方案是升级到仍在支持期的Python版本。Python 3.5已于2020年停止官方支持，继续使用会面临多种安全风险。

3. 手动安装证书

对于有特殊需求必须使用Python 3.5的情况，可以考虑手动更新系统的证书存储。这需要：

1. 获取最新的CA证书包
2. 配置Python使用这些证书
3. 可能需要重新编译Python以支持新的SSL特性

这种方法技术难度较高，且不一定能完全解决问题。

安全考虑

使用PIP_TRUSTED_HOST解决方案时，开发者应当意识到这会降低系统的安全性。在生产环境中，特别是处理敏感数据时，应当尽量避免使用这种方案。如果必须使用，建议：

1. 仅在CI/CD环境中临时使用
2. 限制信任的主机范围
3. 考虑增加额外的安全监控措施

长期建议

对于长期项目，建议制定Python版本升级计划。GitHub Actions支持从Python 3.6到最新版本的所有主流Python发行版，升级到较新版本不仅可以避免这类问题，还能获得性能改进和新特性。

对于维护遗留系统的团队，可以考虑使用容器技术将旧版Python环境隔离，而不是直接在CI/CD系统中使用过时的Python版本。这种方法可以在一定程度上平衡兼容性和安全性需求。