<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Jun 3, 2013, at 1:58 AM, Benjamin Peterson <<a href="mailto:benjamin@python.org">benjamin@python.org</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">2013/6/2 Donald Stufft <<a href="mailto:donald@stufft.io">donald@stufft.io</a>>:<br><blockquote type="cite">As of right now, as far as I can tell, Python does not validate HTTPS<br>certificates by default. As far as I can tell this is because there is no<br>guaranteed certificates available.<br><br>So I would like to propose that CPython adopt the Mozilla SSL certificate<br>list and include it in core, and switch over the API's so that they verify<br>HTTPS by default.<br></blockquote><br>+1<br><br><blockquote type="cite"><br>Ideally this would take the shape of attempting to locate the system<br>certificate store if possible, and if that doesn't work falling back to the<br>bundled certificates. That way the various Linux distros can easily have<br>their copies of Python depend soley on their built in certs, but Windows,<br>OSX, Source compiles etc will all still have a fallback value.<br></blockquote><br>My preference would be actually be for the included certificates file<br>to be used by default. This would provide a consistent experience<br>across platforms. We could provide options to look for system cert<br>repositories if desired.<br></blockquote><div><br></div><div>That's fine with me too. My only reason for wanting to use the system certs first is so</div><div>if someone has modified their system certs (say to include a corporate cert) that it</div><div>would ideally take affect for Python as well.</div><div><br></div><div>But honestly the Linux distros will probably modify things to use system certs anyways</div><div>and non Linux (esp Windows) probably doesn't have a way to get those system certs</div><div>into OpenSSL.</div><br><blockquote type="cite"><br><br><br>--<br>Regards,<br>Benjamin<br></blockquote></div><br><div>
<div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><br class="Apple-interchange-newline">-----------------</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">Donald Stufft</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">PGP: 0x6E3CBCE93372DCFA // 7C6B 7C5D 5E2B 6356 A926 F04F 6E3C BCE9 3372 DCFA</div>
</div>
<br></body></html>