Google Security Blog於2025年5月30日宣布，將從8月1日起撤銷對中華電信簽發之傳輸層安全通訊協定（TLS）憑證的預設信任。這起被國內立委稱之為「核彈級數位信任大爆炸」的事件，究竟揭示了中華電哪些重大管理缺失？

具體來說，事件關鍵成因在於： 涉及Extended Key Usage欄位設定錯誤的不合規操作、憑證延遲撤銷，以及年度自評報告遲交等因素造成。

而深入探討因素之前，首先要從「憑證」開始說起。

什麼是網站安全憑證？什麼是TLS憑證？

網站安全憑證（常見稱為SSL或TLS憑證）是一種數位證書，用於驗證網站的真實性，並加密使用者與網站之間傳輸的資料，確保資訊在網路上傳遞時不會被駭客竊取或竄改。

因此可以說，網站安全憑證是由憑證頒發機構（CA, Certificate Authority）簽發的數位證書，安裝於網站伺服器上。 而當網站啟用安全憑證後，網址會顯示為「https://」並出現鎖頭圖示，代表該網站的資料傳輸已加密。

以數位時代官網為例，網站安全憑證可以從Chrome網址欄位左側的圖示點擊並確認。

圖／ 數位時代

進一步來說，憑證的主要功能包括：

1.加密：保護資料在傳輸過程中不被第三方攔截或竄改。
2.驗證：證明網站的真實性，防止釣魚網站冒充。
3.完整性：確保資料在傳輸過程中未被修改。

總結而言， 沒有安裝安全憑證的網站，瀏覽器會顯示「不安全」警告，影響用戶信任與SEO排名。 而這次中華電信被取消預設信任的TLS（Transport Layer Security）憑證，是目前主流的安全傳輸協定，用來取代早期的SSL（Secure Sockets Layer）協定。

TLS憑證就像是網站的「身分證」

白話來說， TLS憑證就像是網站的「身分證」，證明它不是冒牌貨；同時，它也是資料的「保險箱」，確保你輸入的資料會被鎖起來，只有這個網站能打開。

以電商、銀行等涉及線上金流的網站為例，使用者無論是線上購物、登入網銀、登入會員時，TLS憑證能保護你的帳號密碼不被偷；即使只是逛部落格，有TLS憑證也能避免瀏覽紀錄被第三方偷看。

憑證失效會怎樣？

8月1日後，Chrome瀏覽器將不再信任中華電信新簽發的TLS憑證， 屆時如果台灣的國家網站還在使用這些憑證，用戶用Chrome瀏覽時會出現大紅色警示頁面，提醒網站不安全，很可能會影響民眾對政府數位服務的信任。

對此中華電信表示，受影響範圍限於用Chrome瀏覽器時， 「至於使用微軟Edge、蘋果Safari等其他瀏覽器完全不受影響。」

Google Chrome 瀏覽器在使用者連線到未加密的 HTTP 網站時，顯示「你的連線不是私人連線」的警告訊息。

圖／ 趨勢科技

Google不信任中華電憑證，有哪些核心原因？

根據粉專《雷神講堂》揭露軟體缺陷追蹤網站Bugzilla中的資訊，透過解讀中華電信代表 Leo Fang的發言，可發覺中華電信簽發憑證不被Google信任得原因，可歸咎於以下三點：

一、不合規操作：EKU (Extended Key Usage) 欄位標記錯誤

1. 違反標準： 未遵守 CA/B Forum 的 Baseline Requirements (BR) v2.0.0 規定，該規定要求憑證中的 EKU 欄位必須標記為「非重大關鍵 (non-critical)」。中華電信旗下的 GTLSCA 持續將其錯誤標記為「重大關鍵」。
2. 延遲發現與處理：長達半年（2023年9月至2024年3月）才意識到錯誤並停止錯誤標記。
   3.大量錯誤憑證：在此期間發出了6450份不合規的憑證。
   4.處理效率不佳：發現問題後，事件報告並不清楚，被質疑後續處理「被擠牙膏才講出來」，且直到被公開質疑後，拖延至2024年5月才完成撤銷。
   5.缺乏透明度：在EKU事件處理過程中，行為不夠公開透明，需要外界不斷催促才提供進度。

2023年9月錯誤憑證開始簽發後，直到隔年5月才解決問題。

圖／ bugzilla

若要白話解釋EKU標示錯誤的問題，可以說在「網路身分證」（也就是憑證）上，有一個欄位叫做 EKU， 它說明了這張「身分證」可以用來做什麼。例如，是用來證明網站身分？還是用來加密郵件？還是用來簽署軟體？ 這就像護照上可能會註明「僅限觀光」或「可工作」之類的用途。

而錯誤標示重大關鍵 (critical)或非重大關鍵 (non-critical)的問題， 就像在身分證上蓋錯章，原本只是註明「這個人可以做某些事」，卻誤標成「沒有這個章就不合法」 ，導致系統無法正確辨識，會直接影響憑證的可用性和可信度。

二、內控不足：年度自評報告延遲繳交

1. 多次催繳未果： 2023年度的自我評估報告，經 Root CA 團隊多次（2023年9月、2024年3月、2025年1月）催繳，中華電信仍未提交。
2. 藉口不充分：以負責人「職位調動卻沒交接」作為延遲近兩年未繳交的理由，顯示內部管理和交接流程有嚴重問題。
3. 狀況外： 在2025年1月被催繳2023年報告後，隔天卻提交了2024年的報告，並詢問2023年的報告是否能用新格式補交，顯示對合規要求的掌握不足。
4. Google和Mozilla批評：這些行為顯示中華電信「合規性不足」與「缺乏有效管理」。

在總結報告中，中華電信工程師坦承負責人「職位調動卻沒交接」作為延遲近兩年未繳交年度自評報告的理由。

圖／ bugzilla

三、回應機制失靈

1.強調「非安全性漏洞」：在對外聲明以及對 Google/Mozilla 的報告中，中華電信反覆強調問題「非憑證漏洞或私鑰洩漏」、「沒有對憑證頒發過程有直接影響」，試圖淡化其在合規性、管理流程上的嚴重缺失。
2.對 Google 決定表示「遺憾」： 而非反省其「Authority」（權威性）是為何喪失的。

在中華電信方的Report Closure Summary中，工程師描述延交CCADB年度報告，「沒有對憑證頒發過程有直接影響。」

圖／ bugzilla

中華電信怎麼說？數發部怎麼說？

針對Google對其簽發憑證的不信任，中華電信指出，將從 8月1日起暫停簽發 TLS 網站憑證， 並強調在 7月31日前 由中華電信簽發的 TLS 網站憑證，在其有效期內（簽發日起365天）不受影響。

中華電信指出，會主動聯繫即將到期的客戶，提供免費更新，並協助輔導或轉介至其他憑證機構。

針對一般民眾瀏覽網站，或使用中華電信簽發/委託營運的憑證（如：政府憑證、工商憑證、自然人憑證等）在政府、金融、證券、數位簽章等應用上，中華電信強調均不受影響，可正常使用。

中華電信指出，將盡最大努力持續精進憑證營運管理，並期於2026年3月前完成Google Chrome TLS網站憑證的預設信任。

至於數發部則表示，針對 Google Chrome 8月1日起將停止信任中華電信新簽發的TLS憑證，數位發展部已提前應對。自今年3月起，政府網站已啟動「雙憑證機制」，採用臺灣本土憑證機構簽發的憑證，確保網站持續安全運作。

因此，目前由政府TLS憑證中心 (GTLSCA) 簽發的網站憑證，在其1年效期內仍可正常使用，民眾瀏覽政府網站不受影響。

資料來源：Bugzilla Bug 1946414、Bug 1892419、Bug 1887096、Ray Tracy