影片|中華電信不配被信任?一文解析「Google撤銷憑證」關鍵點:背後隱藏3大管理缺失
影片|中華電信不配被信任?一文解析「Google撤銷憑證」關鍵點:背後隱藏3大管理缺失

Google Security Blog於2025年5月30日宣布,將從8月1日起撤銷對中華電信簽發之傳輸層安全通訊協定(TLS)憑證的預設信任。這起被國內立委稱之為「核彈級數位信任大爆炸」的事件,究竟揭示了中華電哪些重大管理缺失?

具體來說,事件關鍵成因在於: 涉及Extended Key Usage欄位設定錯誤的不合規操作、憑證延遲撤銷,以及年度自評報告遲交等因素造成。

而深入探討因素之前,首先要從「憑證」開始說起。

什麼是網站安全憑證?什麼是TLS憑證?

網站安全憑證(常見稱為SSL或TLS憑證)是一種數位證書,用於驗證網站的真實性,並加密使用者與網站之間傳輸的資料,確保資訊在網路上傳遞時不會被駭客竊取或竄改。

因此可以說,網站安全憑證是由憑證頒發機構(CA, Certificate Authority)簽發的數位證書,安裝於網站伺服器上。 而當網站啟用安全憑證後,網址會顯示為「https://」並出現鎖頭圖示,代表該網站的資料傳輸已加密。

安全連線.jpg
以數位時代官網為例,網站安全憑證可以從Chrome網址欄位左側的圖示點擊並確認。
圖/ 數位時代

進一步來說,憑證的主要功能包括:

1.加密:保護資料在傳輸過程中不被第三方攔截或竄改。
2.驗證:證明網站的真實性,防止釣魚網站冒充。
3.完整性:確保資料在傳輸過程中未被修改。

總結而言, 沒有安裝安全憑證的網站,瀏覽器會顯示「不安全」警告,影響用戶信任與SEO排名。 而這次中華電信被取消預設信任的TLS(Transport Layer Security)憑證,是目前主流的安全傳輸協定,用來取代早期的SSL(Secure Sockets Layer)協定。

TLS憑證就像是網站的「身分證」

白話來說, TLS憑證就像是網站的「身分證」,證明它不是冒牌貨;同時,它也是資料的「保險箱」,確保你輸入的資料會被鎖起來,只有這個網站能打開。

以電商、銀行等涉及線上金流的網站為例,使用者無論是線上購物、登入網銀、登入會員時,TLS憑證能保護你的帳號密碼不被偷;即使只是逛部落格,有TLS憑證也能避免瀏覽紀錄被第三方偷看。

憑證失效會怎樣?

8月1日後,Chrome瀏覽器將不再信任中華電信新簽發的TLS憑證, 屆時如果台灣的國家網站還在使用這些憑證,用戶用Chrome瀏覽時會出現大紅色警示頁面,提醒網站不安全,很可能會影響民眾對政府數位服務的信任。

對此中華電信表示,受影響範圍限於用Chrome瀏覽器時, 「至於使用微軟Edge、蘋果Safari等其他瀏覽器完全不受影響。」

你的連線不是私人連線.jpg
Google Chrome 瀏覽器在使用者連線到未加密的 HTTP 網站時,顯示「你的連線不是私人連線」的警告訊息。

Google不信任中華電憑證,有哪些核心原因?

根據粉專《雷神講堂》揭露軟體缺陷追蹤網站Bugzilla中的資訊,透過解讀中華電信代表 Leo Fang的發言,可發覺中華電信簽發憑證不被Google信任得原因,可歸咎於以下三點:

一、不合規操作:EKU (Extended Key Usage) 欄位標記錯誤

  1. 違反標準: 未遵守 CA/B Forum 的 Baseline Requirements (BR) v2.0.0 規定,該規定要求憑證中的 EKU 欄位必須標記為「非重大關鍵 (non-critical)」。中華電信旗下的 GTLSCA 持續將其錯誤標記為「重大關鍵」。
  2. 延遲發現與處理:長達半年(2023年9月至2024年3月)才意識到錯誤並停止錯誤標記。
    3.大量錯誤憑證:在此期間發出了6450份不合規的憑證。
    4.處理效率不佳:發現問題後,事件報告並不清楚,被質疑後續處理「被擠牙膏才講出來」,且直到被公開質疑後,拖延至2024年5月才完成撤銷。
    5.缺乏透明度:在EKU事件處理過程中,行為不夠公開透明,需要外界不斷催促才提供進度。
完成撤銷.jpg
2023年9月錯誤憑證開始簽發後,直到隔年5月才解決問題。
圖/ bugzilla

若要白話解釋EKU標示錯誤的問題,可以說在「網路身分證」(也就是憑證)上,有一個欄位叫做 EKU, 它說明了這張「身分證」可以用來做什麼。例如,是用來證明網站身分?還是用來加密郵件?還是用來簽署軟體? 這就像護照上可能會註明「僅限觀光」或「可工作」之類的用途。

而錯誤標示重大關鍵 (critical)或非重大關鍵 (non-critical)的問題, 就像在身分證上蓋錯章,原本只是註明「這個人可以做某些事」,卻誤標成「沒有這個章就不合法」 ,導致系統無法正確辨識,會直接影響憑證的可用性和可信度。

二、內控不足:年度自評報告延遲繳交

  1. 多次催繳未果: 2023年度的自我評估報告,經 Root CA 團隊多次(2023年9月、2024年3月、2025年1月)催繳,中華電信仍未提交。
  2. 藉口不充分:以負責人「職位調動卻沒交接」作為延遲近兩年未繳交的理由,顯示內部管理和交接流程有嚴重問題。
  3. 狀況外: 在2025年1月被催繳2023年報告後,隔天卻提交了2024年的報告,並詢問2023年的報告是否能用新格式補交,顯示對合規要求的掌握不足。
  4. Google和Mozilla批評:這些行為顯示中華電信「合規性不足」與「缺乏有效管理」。
報告總結.jpg
在總結報告中,中華電信工程師坦承負責人「職位調動卻沒交接」作為延遲近兩年未繳交年度自評報告的理由。
圖/ bugzilla

三、回應機制失靈

1.強調「非安全性漏洞」:在對外聲明以及對 Google/Mozilla 的報告中,中華電信反覆強調問題「非憑證漏洞或私鑰洩漏」、「沒有對憑證頒發過程有直接影響」,試圖淡化其在合規性、管理流程上的嚴重缺失。
2.對 Google 決定表示「遺憾」: 而非反省其「Authority」(權威性)是為何喪失的。

事件描述.jpg
在中華電信方的Report Closure Summary中,工程師描述延交CCADB年度報告,「沒有對憑證頒發過程有直接影響。」
圖/ bugzilla

中華電信怎麼說?數發部怎麼說?

針對Google對其簽發憑證的不信任,中華電信指出,將從 8月1日起暫停簽發 TLS 網站憑證, 並強調在 7月31日前 由中華電信簽發的 TLS 網站憑證,在其有效期內(簽發日起365天)不受影響。

中華電信指出,會主動聯繫即將到期的客戶,提供免費更新,並協助輔導或轉介至其他憑證機構。

針對一般民眾瀏覽網站,或使用中華電信簽發/委託營運的憑證(如:政府憑證、工商憑證、自然人憑證等)在政府、金融、證券、數位簽章等應用上,中華電信強調均不受影響,可正常使用。

中華電信指出,將盡最大努力持續精進憑證營運管理,並期於2026年3月前完成Google Chrome TLS網站憑證的預設信任。

至於數發部則表示,針對 Google Chrome 8月1日起將停止信任中華電信新簽發的TLS憑證,數位發展部已提前應對。自今年3月起,政府網站已啟動「雙憑證機制」,採用臺灣本土憑證機構簽發的憑證,確保網站持續安全運作。

因此,目前由政府TLS憑證中心 (GTLSCA) 簽發的網站憑證,在其1年效期內仍可正常使用,民眾瀏覽政府網站不受影響。

資料來源:Bugzilla Bug 1946414Bug 1892419Bug 1887096Ray Tracy

往下滑看下一篇文章
70%企業陷AI困境!「AI TAIWAN 未來商務展」助攻AI落地:一次集結逾250家技術服務商
70%企業陷AI困境!「AI TAIWAN 未來商務展」助攻AI落地:一次集結逾250家技術服務商

根據人工智慧科技基金會的《台灣產業 AI 化大調查》,過去兩年,台灣企業對 AI 的認知度顯著提升,但仍有高達七成的企業尚未跨越應用門檻。這是因為 AI 不只是單點技術的導入,更需要建構在完整的數據整合與組織協作基礎之上。在真正推動 AI 之前,必須先打穩「數位轉型」的基礎,透過全面數位化、調整管理流程與思維架構,才能真正開啟 AI 賦能的下一步,協助企業在市場變局中穩健應對。

正是在這樣的需求脈絡下,今年邁入第 11 屆的「AI TAIWAN 未來商務展」以「AI in Action」為主題,聚焦企業在導入過程中可能面臨的軟硬體挑戰與應用瓶頸。作為全台最大的 AI 轉型企業解決方案大展,展會邀請超過 250 家解方廠商與技術服務供應商,帶來管理應用、MarTech、生成式 AI、系統整合等多元解決方案,全面協助企業突破應用挑戰,加速 AI 落地。

六大展區全面出擊,解決企業軟硬體轉型需求

為完整串聯從技術到應用的多元需求,20205 AI TAIWAN 未來商務展規劃「營運解決方案」、「產業應用」、「企業 AI 導入與學習」、「AI 關鍵技術」、「國際創新」與「AI/數位人才媒合」六大展區。攜手 AWS、微星、威剛、女媧創造、正新等策展夥伴,呈現最新的 AI 應用;參展的解決方案供應商陣容則橫跨電信、雲端、行銷、零售、製造等產業,全面協助企業在 AI 技術導入過程中,一次找到合適的合作夥伴與服務模式。

本次展會更針對製造、科技行銷、零售等產業,舉辦「Solution Guide 解方媒合會」。媒合會邀請專業解方供應商分享實戰經驗與應用洞察,並提供現場一對一媒合服務。協助企業快速對接具體方案,進一步掌握落地細節與可行路徑。

五大技術研討會+高峰論壇,直擊前沿應用與趨勢

除了尋找合作解方,企業在面對 AI 落地時,更需要掌握最新的技術與市場趨勢。今年「AI TAIWAN 未來商務展」舉辦多場高峰論壇,邀請 Appier 及 iKala 董事、Google 前董事總經理簡立峰,以及美而快總經理王志仁等產業 20 多位重量級講者,分享他們對國際趨勢、產業發展與未來應用的第一手觀察。從市場動態到落地實例,協助企業一次掌握前線的商業機會與應用脈絡。

展會期間,亦將舉辦五場「AI 技術應用研討會」,涵蓋 AI 感知技術、生成式 AI、AI 代理、AI 資安、邊緣 AI 五大主題,透過深入剖析最新技術及應用模式,協助企業強化未來競爭力。

img-1723530102-15296.jpg
AI TAIWAN 未來商務展。
圖/ FC未來商務

國際團隊進駐+人才媒合,打開合作與成長新格局

當企業數位轉型與 AI 應用的基礎逐步到位,更長遠的競爭課題則是國際化布局與人才鏈接。今年展會特別與日本 Everidge 株式會社攜手合作,邀請來自 10 個國家、近 80 間的解決方案供應商,共組國際展區,協助台灣企業串聯全球 AI 生態圈,開啟跨國合作新契機。

同時,展會與數位人才媒合平台 Yourator 攜手合作,設立「AI/數位人才媒合專區」,協助企業補足 AI 專業人才缺口,為企業長期營運與競爭力奠定基礎。同時,專區也會透過職涯諮詢與快速面試,支援求職者釐清職務需求與瞭解未來 AI 人才趨勢。

不只是看見 AI,還要真正「用好 AI」!

當 AI 已成為顯學,企業不能再停留在「看見」的階段。2025 AI TAIWAN 未來商務展,正是企業找到最完整的軟硬體解方、國際夥伴、人才資源與轉型藍圖的最佳場域。6 月 26 日至 28 日,台北花博爭艷館將見證 AI 如何真正「in Action」,成為企業實現新商業價值、強化競爭力的重要驅動力。

.展會名稱:2025 AI TAIWAN 未來商務展
.時間:2025 年 6 月 26 日(四)~ 6 月 28 日(六)
.地點:台北花博爭艷館(Taipei Expo Park Ex
.報名連結:https://fcexhibition.pse.is/7p7h2b
.展會官網:https://www.futurecommerce.tw/

延伸閱讀:哪一款AI最會讀書?冠軍「不是ChatGPT」:5款主流AI大PK,只有「它」沒出現幻覺

本文授權轉自:FC未來商務

關鍵字: #AI #未來商務

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
電商終局戰
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓