<div dir="ltr">Setting an env var seems like a very straightforward way to do this, and means the deployer can easily control the specifics of what they want without any code changes - that suits me perfectly.  Adding some documentation somewhere to that effect might be handy but this is indeed a bit of an edge case if the distro packages already patch requests to override the default anyway.  I only tripped over this when I started using virtual environments and pip, and wasn't expecting the distro package to alter the behaviour of the library it ships. <div><br></div><div>Thanks for the feedback and discussion, it's been really helpful.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 17 November 2015 at 23:30, Cory Benfield <span dir="ltr"><<a href="mailto:cory@lukasa.co.uk" target="_blank">cory@lukasa.co.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
> On 16 Nov 2015, at 11:54, Sean Dague <<a href="mailto:sean@dague.net">sean@dague.net</a>> wrote:<br>
> That sounds pretty reasonable to me. I definitely support the idea that<br>
> we should be using system CA by default, even if that means overriding<br>
> requests in our tools.<br>
<br>
</span>Setting REQUESTS_CA_BUNDLE is absolutely the way to go about this. In requests 2.9.0 we will also support the case that REQUESTS_CA_BUNDLE points to a directory of certificates, not a single certificate file, so this should cover all Linux distributions methods of distributing OpenSSL-compatible certificates.<br>
<br>
If OpenStack wants to support using Windows and OS X built-in certificate stores, that's harder. This is because both systems do not use PEM-file based certificate distribution, which means OpenSSL can’t read them.<br>
<span class="HOEnZb"><font color="#888888"><br>
Cory<br>
</font></span><br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>