Google 早先宣布,自 8 月 1 日起將在 Chrome 瀏覽器中取消對中華電信所簽發的 TLS(Transport Layer Security)網站憑證預設信任,此變更將適用於 Windows、macOS、ChromeOS、Android 與 Linux 平台的 Chrome 139 版本以上。
今日中華電舉辦「2025 中華電信數位創新應用系列賽宣告記者會」,會後董事長簡志誠受訪時表示,這件事對於國安、資安並沒有任何影響,但對社會的影響好像比較大,因此要跟社會說聲抱歉。
針對這次的憑證風波,簡志誠解釋,其實瀏覽器憑證可以視作網站的「身份證」,網站維運者需要替網站申請一個「身份證」才代表你是合法的網站;這個個憑證基本上應該要由 Google Chrome 來發放,但全球有上億個網站,這件事不可能由 Google 一家公司來完成,因此該公司在全球找了 67 家其所認證的機構,請這些機構替 Google 來發放憑證。
目前台灣有權發放 Chrome 瀏覽器憑證的只有兩家,一家就是中華電信,另一家則是台灣網路認證股份有限公司(TWCA);不過台灣的網站維運者也可以透過網路管道向其他業者申請,不一定僅侷限在中華電或 TWCA 才能發放。
中華電內部到底發生什麼事?
簡志誠指出,這件事源於過去一年未即時回應 Google 所屬憑證討論社群的技術要求與流程更新。雖然相關配合已於今年初完成,但因歷史紀錄已被傳到 Mozilla 的公開技術論壇 Bugzilla,許多人都已經知道中華電有多次不合規的紀錄,因此 Google 最終仍決定自 8 月起取消對中華電信的信任資格。
對於憑證業務的實際影響,簡志誠表示,目前旗下共管理約 1 萬筆網站憑證,其中約 2,000 筆為企業網站、8,000 筆為政府機關。所有憑證皆為期一年,且截至 7 月 31 日所簽發之憑證依然有效。但為避免客戶受到 8 月起無法續約的影響,中華電信已全面展開補發與轉發作業。
對即將到期的憑證企業用戶,中華電採取提前更新的措施;若客戶希望更換其他簽發機構,則提供免費輔導協助,包括轉介至 TWCA 或其他國際 CA 機構。中華電信表示,相關作業預計將於 7 月底前全面完成,因此中華電強調不會造成任何網站立即失效或中斷運作。
簡志誠進一步指出,在政府端,數發部自 3 月即與中華電展開雙憑證協作,針對 8,000 筆機關網站加簽備援憑證,以跨越本次憑證信任空窗期。目前已完成更新或轉介比例約 95%,中華電信預期,其所有網站憑證客戶的更新作業將於 7 月內達成 100% 覆蓋率。
國安、資安問題?
針對外界質疑憑證事件涉及資安與國安議題,簡志誠澄清,數位憑證僅為身分驗證工具,與網站是否安全無關,類比於工商登記證,是否違法須另行判斷。強調此次事件屬流程與作業延遲,並非技術失誤或資安漏洞所致。
中華電信也承認內部在流程監控與回應上確有疏失,並已針對負責團隊進行重組與制度調整,包括指定主管定期檢閱國際論壇更新,並導入自動化監控工具,未來只要論壇中有提及中華電的缺失,都會一一改善,避免類似狀況再次發生。
至於未來憑證業務佈局,中華電信正著手重新申請成為 Google 信任的 CA 發放機構,整個程序預計於 2025 年 3 月前完成,需經第三方驗證其資訊安全與流程控管能力,方可重新取得發證授權。
憑證業務雖非中華電信營收主力,但本次事件仍凸顯其在網路基礎建設中的關鍵角色與責任。據內部資料顯示,中華電現有憑證服務市占僅約 1 萬站,相較全台超過 40 萬個網站,市占率不到 3%,未來如何強化競爭力與服務穩定性,亦是其面對市場信任修復的課題。
中華電信強調,無論是網站提前續發或協助轉介,皆不會額外收費,並將全力維護用戶權益與網站正常運作,期望透過實際行動重建信任、穩定服務口碑。
另一方面,早先有媒體指稱,這次的瀏覽器憑證風波將會波及自然人憑證與工商憑證的發放,對此簡志誠表示,雖然都叫做「憑證」,但瀏覽器憑證與上述兩種憑證是完全不同的東西,因此自然人憑證、工商憑證根本不受此次事件影響。
當被問到中華電是否有信心在明年 3 月就能重新取得 Google Chrome 的預設信任時;簡志誠強調,這個目標非達到不可,中華電對於團隊的要求不會有所打折!
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
