Google於5月30日宣布最新版瀏覽器Chrome將從2025年8月1日起,不再信任中華電信核發的傳輸層安全通訊協定(TLS)憑證。 意思是,如果使用中華電信8月之後核發的TLS憑證,民眾使用Chrome瀏覽該網站時,將會跳出「不安全網站」的警示畫面。
中華電信董事長簡志誠6月17日出席「2025中華電信數位創新應用系列賽」記者會,針對中華電信核發的網站憑證將被Google撤銷信任一事,於會後向媒體強調, 本次事件屬於作業程序失誤,中華電信在技術層面並無疑慮,不會造成外界憂心的資安乃至於國安問題。
簡志誠表示,TLS憑證就像是網站的身分證,和營業事業被要求做工商登記一樣, 「一個公司沒去申請工商憑證也不代表它是非法公司,憑證是身分證,跟資安也沒有直接的關係。」
更新、換證雙軌並行,憑證「不存在失效問題」
目前中華電信決議自8月1日起全面停止簽發新憑證,已經透過中華電信取得的約2,000張商業憑證和8,000多張公部門憑證,中華電信也持續協助換發新證。
針對公部門憑證,數發部自今年3月起啟動「雙憑證機制」,要求政府部門同步申請中華電信和其它本土憑證機構簽發的憑證, 即使中華電信的憑證失效,網站還能依據另張憑證繼續運作。
至於一般企業申請的商業憑證,簡志誠也擔保「沒有失效問題」,他表示因為每張憑證能有一年效期,中華電信已經逐一盤查每個客戶的憑證到期日,與客戶商議在7月底前換發新憑證、讓有效期限延一年,或者轉介客戶向主要股東為證交所的「TWCA台灣網路認證公司」及其它海外發證機構申請憑證。
截至6月13日, 政府機構使用中華電信TLS憑證的網站中,已經有超過95.4%完成憑證更新或轉換為雙憑證 ,簡志誠表示,預計7月底前能全數完成換發作業。
中華電信也同步向Google重新申請加入憑證認證單位,簡志誠表示,因為過程需要經由第3方機構審查、作業時間不定, 目前將目標訂定在明年3月之前完成申請。
認作業疏失,祭多項改善方案、盼明年3月重返認證機構
Google為管理「Chrome信任清單」,於全球尋求負責代理審核網站的憑證機構(CA)合作,簡志誠表示, 目前全球約有67家經Google認證的憑證機構,台灣則有中華電信和TWCA兩家公司負責。
簡志誠解釋,Google會不斷更新憑證基礎規範,要求CA業者立即依循落實並定期提交合規文件;此外,由Google設置的公開論壇「Bugzilla」上若有針對特定機構的詢問,CA業者應該於72小時內提出回應。
然而自去年3月起,中華電信於上述事項陸續發生未及時因應的不合規行為,以至於Google最終取消中華電信新核發憑證的預設信任。
簡志誠表示中華電信「最怕客戶對我們沒信心」,即使不會有既有憑證失效或資安疑慮,中華電信也要跟社會道歉,公司內部亦針對這次事件嚴正檢討。
中華電信總經理林榮賜表示,公司已經重組跨部門專責憑證業務的團隊、重新訂定作業流程,同時也導入自動化檢查工具,篩選Bugzilla論壇上與自家相關的議題,並雙重把關客戶端的憑證格式等,「中華電信在PKI(公開金鑰基礎建設)領域20年以上,技術部分我們絕對有信心,之前疏忽的地方會記取這一次的經驗跟教訓來努力。」
責任編輯:李先泰
