影片|中華電信不配被信任?一文解析「Google撤銷憑證」關鍵點:背後隱藏3大管理缺失
影片|中華電信不配被信任?一文解析「Google撤銷憑證」關鍵點:背後隱藏3大管理缺失

Google Security Blog於2025年5月30日宣布,將從8月1日起撤銷對中華電信簽發之傳輸層安全通訊協定(TLS)憑證的預設信任。這起被國內立委稱之為「核彈級數位信任大爆炸」的事件,究竟揭示了中華電哪些重大管理缺失?

具體來說,事件關鍵成因在於: 涉及Extended Key Usage欄位設定錯誤的不合規操作、憑證延遲撤銷,以及年度自評報告遲交等因素造成。

而深入探討因素之前,首先要從「憑證」開始說起。

什麼是網站安全憑證?什麼是TLS憑證?

網站安全憑證(常見稱為SSL或TLS憑證)是一種數位證書,用於驗證網站的真實性,並加密使用者與網站之間傳輸的資料,確保資訊在網路上傳遞時不會被駭客竊取或竄改。

因此可以說,網站安全憑證是由憑證頒發機構(CA, Certificate Authority)簽發的數位證書,安裝於網站伺服器上。 而當網站啟用安全憑證後,網址會顯示為「https://」並出現鎖頭圖示,代表該網站的資料傳輸已加密。

安全連線.jpg
以數位時代官網為例,網站安全憑證可以從Chrome網址欄位左側的圖示點擊並確認。
圖/ 數位時代

進一步來說,憑證的主要功能包括:

1.加密:保護資料在傳輸過程中不被第三方攔截或竄改。
2.驗證:證明網站的真實性,防止釣魚網站冒充。
3.完整性:確保資料在傳輸過程中未被修改。

總結而言, 沒有安裝安全憑證的網站,瀏覽器會顯示「不安全」警告,影響用戶信任與SEO排名。 而這次中華電信被取消預設信任的TLS(Transport Layer Security)憑證,是目前主流的安全傳輸協定,用來取代早期的SSL(Secure Sockets Layer)協定。

TLS憑證就像是網站的「身分證」

白話來說, TLS憑證就像是網站的「身分證」,證明它不是冒牌貨;同時,它也是資料的「保險箱」,確保你輸入的資料會被鎖起來,只有這個網站能打開。

以電商、銀行等涉及線上金流的網站為例,使用者無論是線上購物、登入網銀、登入會員時,TLS憑證能保護你的帳號密碼不被偷;即使只是逛部落格,有TLS憑證也能避免瀏覽紀錄被第三方偷看。

憑證失效會怎樣?

8月1日後,Chrome瀏覽器將不再信任中華電信新簽發的TLS憑證, 屆時如果台灣的國家網站還在使用這些憑證,用戶用Chrome瀏覽時會出現大紅色警示頁面,提醒網站不安全,很可能會影響民眾對政府數位服務的信任。

對此中華電信表示,受影響範圍限於用Chrome瀏覽器時, 「至於使用微軟Edge、蘋果Safari等其他瀏覽器完全不受影響。」

你的連線不是私人連線.jpg
Google Chrome 瀏覽器在使用者連線到未加密的 HTTP 網站時,顯示「你的連線不是私人連線」的警告訊息。

Google不信任中華電憑證,有哪些核心原因?

根據粉專《雷神講堂》揭露軟體缺陷追蹤網站Bugzilla中的資訊,透過解讀中華電信代表 Leo Fang的發言,可發覺中華電信簽發憑證不被Google信任得原因,可歸咎於以下三點:

一、不合規操作:EKU (Extended Key Usage) 欄位標記錯誤

  1. 違反標準: 未遵守 CA/B Forum 的 Baseline Requirements (BR) v2.0.0 規定,該規定要求憑證中的 EKU 欄位必須標記為「非重大關鍵 (non-critical)」。中華電信旗下的 GTLSCA 持續將其錯誤標記為「重大關鍵」。
  2. 延遲發現與處理:長達半年(2023年9月至2024年3月)才意識到錯誤並停止錯誤標記。
    3.大量錯誤憑證:在此期間發出了6450份不合規的憑證。
    4.處理效率不佳:發現問題後,事件報告並不清楚,被質疑後續處理「被擠牙膏才講出來」,且直到被公開質疑後,拖延至2024年5月才完成撤銷。
    5.缺乏透明度:在EKU事件處理過程中,行為不夠公開透明,需要外界不斷催促才提供進度。
完成撤銷.jpg
2023年9月錯誤憑證開始簽發後,直到隔年5月才解決問題。
圖/ bugzilla

若要白話解釋EKU標示錯誤的問題,可以說在「網路身分證」(也就是憑證)上,有一個欄位叫做 EKU, 它說明了這張「身分證」可以用來做什麼。例如,是用來證明網站身分?還是用來加密郵件?還是用來簽署軟體? 這就像護照上可能會註明「僅限觀光」或「可工作」之類的用途。

而錯誤標示重大關鍵 (critical)或非重大關鍵 (non-critical)的問題, 就像在身分證上蓋錯章,原本只是註明「這個人可以做某些事」,卻誤標成「沒有這個章就不合法」 ,導致系統無法正確辨識,會直接影響憑證的可用性和可信度。

二、內控不足:年度自評報告延遲繳交

  1. 多次催繳未果: 2023年度的自我評估報告,經 Root CA 團隊多次(2023年9月、2024年3月、2025年1月)催繳,中華電信仍未提交。
  2. 藉口不充分:以負責人「職位調動卻沒交接」作為延遲近兩年未繳交的理由,顯示內部管理和交接流程有嚴重問題。
  3. 狀況外: 在2025年1月被催繳2023年報告後,隔天卻提交了2024年的報告,並詢問2023年的報告是否能用新格式補交,顯示對合規要求的掌握不足。
  4. Google和Mozilla批評:這些行為顯示中華電信「合規性不足」與「缺乏有效管理」。
報告總結.jpg
在總結報告中,中華電信工程師坦承負責人「職位調動卻沒交接」作為延遲近兩年未繳交年度自評報告的理由。
圖/ bugzilla

三、回應機制失靈

1.強調「非安全性漏洞」:在對外聲明以及對 Google/Mozilla 的報告中,中華電信反覆強調問題「非憑證漏洞或私鑰洩漏」、「沒有對憑證頒發過程有直接影響」,試圖淡化其在合規性、管理流程上的嚴重缺失。
2.對 Google 決定表示「遺憾」: 而非反省其「Authority」(權威性)是為何喪失的。

事件描述.jpg
在中華電信方的Report Closure Summary中,工程師描述延交CCADB年度報告,「沒有對憑證頒發過程有直接影響。」
圖/ bugzilla

中華電信怎麼說?數發部怎麼說?

針對Google對其簽發憑證的不信任,中華電信指出,將從 8月1日起暫停簽發 TLS 網站憑證, 並強調在 7月31日前 由中華電信簽發的 TLS 網站憑證,在其有效期內(簽發日起365天)不受影響。

中華電信指出,會主動聯繫即將到期的客戶,提供免費更新,並協助輔導或轉介至其他憑證機構。

針對一般民眾瀏覽網站,或使用中華電信簽發/委託營運的憑證(如:政府憑證、工商憑證、自然人憑證等)在政府、金融、證券、數位簽章等應用上,中華電信強調均不受影響,可正常使用。

中華電信指出,將盡最大努力持續精進憑證營運管理,並期於2026年3月前完成Google Chrome TLS網站憑證的預設信任。

至於數發部則表示,針對 Google Chrome 8月1日起將停止信任中華電信新簽發的TLS憑證,數位發展部已提前應對。自今年3月起,政府網站已啟動「雙憑證機制」,採用臺灣本土憑證機構簽發的憑證,確保網站持續安全運作。

因此,目前由政府TLS憑證中心 (GTLSCA) 簽發的網站憑證,在其1年效期內仍可正常使用,民眾瀏覽政府網站不受影響。

資料來源:Bugzilla Bug 1946414Bug 1892419Bug 1887096Ray Tracy

往下滑看下一篇文章
新創看過來!2025亞灣新創大南方8/22在高雄:半導體、AI技術⋯10大專區徵展中
新創看過來!2025亞灣新創大南方8/22在高雄:半導體、AI技術⋯10大專區徵展中

由《數位時代》與高雄市政府聯合主辦、Meet創業小聚策劃執行的年度指標性創新創業盛會「2025 Meet Greater South亞灣新創大南方」,將於2025年8月22日至23日在高雄展覽館北館盛大舉行。

隨著台積電、超微(AMD)、輝達(NVIDIA)等國際大廠紛紛進駐,高雄正迎來前所未有的產業升級契機,特別在半導體、人工智慧、電動車、智慧製造與綠能科技等領域,這股發展浪潮為新創團隊帶來巨大的潛力與市場機會。

「Meet Greater South亞灣新創大南方」,早已不僅是一個展會,它已成為新創團隊眼中加速成長、鏈結關鍵資源、拓展市場版圖的戰略要塞,同時也為成熟企業尋找轉型升級的創新動能。

聚焦十大關鍵應用,打造AI賦能產業盛景

本次以融合創新科技、推動產業升級為核心,規劃十大關鍵應用專區,其中包括5G與雲端、人工智慧、智慧城市與物聯網、數位資產與新金融、綠色商機、數位內容與體驗科技、行銷科技、新零售、醫療與健康科技、地方創生及創新與新商業等主題。

展會不僅是技術與產品的展示平台,展區本身的互動與交流,除了是促成商業合作的關鍵,透過大會的整合行銷等多重管道,新創更能直接向業界領袖、潛在客戶及合作夥伴展示自身價值,有效提升品牌能見度並直接觸達潛在客戶。

多元活動賦能新創,實質效益口碑相傳

為促進實質交流,「Meet Greater South亞灣新創大南方」在展會期間精心策劃了多場精彩活動,旨在全方位賦能參展新創團隊。其中,「創業家開講」為新創提供了絕佳的舞台,透過分享創新解決方案與獨特市場策略,與業界專家進行深度點評互動。曾有「創新與新商業展區」新創表示,有10多家廠商正接洽進一步的合作機會。

不僅如此,大會亦高度重視為新創精準對接資本市場,加速其募資進程的目標。核心活動「投資媒合會」便致力於為新創與企業、投資人搭建一對一的精準對接平台,深入發掘潛在投資機會,為新創的快速成長注入關鍵動能。

最後,作為產業領袖交流思想、拓展合作的關鍵場域,展會亦規劃新創交流之夜及各類交流活動,有效促進與會者與來自產官學各界領袖建立穩固的合作關係。

Meet創業小聚
投資人媒合會藉由一對一洽談對話,讓團隊得以有機會獲得更多資源。
圖/ Meet創業小聚

5萬人次參與,成功促成超過250組以上的精準商機媒合

Meet創業小聚憑藉多年深耕台灣新創生態系的經驗,已成功將「Meet Greater South亞灣新創大南方」打造成南台灣最具指標性的新創盛會。五年來已累積逾50,000人次觀展,促成250組以上的商機媒合,並鏈結超過20個政府、企業及生態系夥伴。

「2025 Meet Greater South亞灣新創大南方」參展報名活動自即日起正式啟動,並將於2025年7月2日(三)截止。本次特別推出超早鳥優惠方案,凡於2025年6月5日(四)前完成報名並符合資格的新創團隊,將可享有最低2折的參展價格。歡迎符合資格團隊踴躍報名,共同點燃屬於這座城市的創新引擎,一同邁向更廣闊的國際舞台。

招商資訊

徵展報名頁面:https://meetgreatersouth.tw/
報名時間:即日起至7/2(三)止
參展方式:採報名審核制,填完表單後靜待審核通知(將用Email信件通知是否通過)攤位數有限欲報名從速。主辦單位保有最終修改變更活動解釋及取消本活動之權利。

本文授權轉載自:創業小聚

延伸閱讀:AI能代替心理諮商嗎?當ChatGPT變成「情緒樹洞」:絕不插話、永遠懂你,卻暗藏危機?
川普關稅戰踢鐵板!美聯邦法院認定「越權」:發生什麼事?為何法官們不挺川普?

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
電商終局戰
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓