Google Chrome不再信任中華電信頒發的TLS憑證事件,引起各界關注,中華電信6月17日首度說明事件始末,坦承憑證團隊未即時掌握落實,並提出8項改善作為,目標2026年3月重新取得信任。
針對Google Chrome不再信任中華電信頒發的TLS憑證事件,中華電董事長簡志誠今天親上火線,除了坦承團隊疏失、向社會致歉之外,也強調「無關資安、國安議題」、「影響微乎其微」,團隊提供「5面A4紙」的文件回應,盼一次將相關始末清楚說明,為大眾釋疑。
TLS網站憑證是什麼?
TLS (Transport Layer Security)網站憑證,也常被稱為SSL(Secure Sockets Layer Certificate)憑證, 是由憑證授權機構(Certificate Authority, CA)簽發給網站的「數位身分證」,主要用於Internet網際網路上的身分驗證,效期為數月至1年之間,網站業主需定期更新TLS網站憑證 。
針對TLS網站憑證出問題,是否會影響工商憑證、自然人憑證等其他憑證, 中華電強調,TLS網站憑證是給網站用的,工商憑證則是給企業用的、自然人憑證是給自然人用的,TLS網站憑證和工商憑證、自然人憑證等其他種類並不相同,彼此不會互相影響 。
憑證事件是怎麼回事?
Google Chrome於台灣時間2025年5月30日夜間宣布,因中華電信與Netlock兩家CA憑證授權單位未能在期限內完成必要合規措施(如5日內撤銷及更換憑證等),導致信任度下降,因此自Chrome 139版起,將移除預設信任中華電信及Netlock於2025年7月31日後簽發的TLS網站新憑證。
換言之,如果網站使用中華電信在2025年8月1日之後(含8月1日)發出的TLS憑證,民眾使用Chrome瀏覽該網站時,可能會跳出「不安全網站」的警示畫面。
對此, 中華電信於2025年6月3日表示,從8月1日起將暫停簽發TLS網站憑證,同時再次強調,此次事件雖非憑證存在漏洞或私鑰洩露,也無涉資訊安全或網路安全疑慮 ,但對於社會大眾所造成困擾,中華電信誠摯表達歉意。
影響有哪些?
對網站業主的影響方面,中華電信表示, 於7月31日之前簽發的TLS網站憑證,維持有效,自簽發日起算365日,不會受到任何影響 ,例如,2025年7月31日中華電信簽發憑證A,網站可有效使用至2026年7月30日,網站業主不受任何影響,民眾瀏覽其網站時也與過往無異。
對TLS憑證效期即將到期的網站,中華電信表示,會主動聯繫提醒客戶,免費提供憑證更新,因應客戶需要,中華電信也會提供必要的輔導或轉介其他憑證機構。
對一般民眾的影響方面,中華電表示, 民眾日常使用的政府網站、銀行網站、學校系統等,如上所述,因網站TLS憑證仍在效期內或已提前更新憑證,民眾使用Chrome瀏覽這些網站時,和過往相同,不會出現任何警示或錯誤訊息 。
另外,因中華電信從8月1日起暫停簽發TLS網站憑證,也不會有民眾因為瀏覽到Chrome停止預設信任中華電信新簽發憑證的網站,而出現警示畫面。
中華電信有疏失嗎?
Google Chrome會不斷更新憑證基準規範,CA業者需在新的規範生效後立即依循落實。 中華電坦言,憑證團隊沒有即時掌握並且落實,導致中華電信簽發的部分憑證格式(EKU)不符規定,另外的疏失也包含機關代號和地址欄位的編碼不符合規範要求。
中華電表示,Google Chrome並非不允許有任何不符規事項,也設置其Bugzilla論壇,讓所有人都可以透過公開的技術平台來追蹤問題、回應問題和進行討論,但也有相對應的規則來要求CA業者遇到不符規事項或論壇詢問時的處理方式、時限,憑證團隊沒有確實依照規則和要求去執行。
中華電歸納背後原因重點指出,團隊遇到執行有窒礙難行時,沒有即時向上通報,以快速的尋求解決。例如依照規定,當Bugzilla論壇有詢問時,CA業者需於72小時內回應,但由於依照中華電信和使用憑證客戶的合約,中華電信需經過客戶的審查才能回應論壇提問,所以有幾件無法在72小時內完成回應,造成論壇輿論不滿,認為中華電信反應過慢。
依照規定,CA業者應定期提交合規文件,但由於團隊成員更替、未完整交接,導致承接的團隊成員未在規定時限內提交自評報告。
中華電表示,2024年幾項不合規事項發生後,督導憑證團隊的主管接獲通報,旋即率隊積極與Google溝通並提出改善計畫,Google團隊雖肯定中華電信的改善計畫,但表達需優先採取保護Chrome使用者安全的應對措施,因此取消對中華電信新核發憑證的預設信任,也同時向公司說明可重新申請加入,雙方並持續溝通探討能確保使用者安全的解決方案。
中華電如何因應改善?
針對這次憑證事件,中華電信提出8項具體改善,包括:
第1,「停止簽發新憑證」,自2025年8月1日起,全面暫停簽發新TLS憑證,避免影響使用者與網站信任;第2,「全面協助憑證換發」,協助政府與企業客戶提前完成憑證換發,截至6月13日,政府機關使用中華電信TLS憑證的網站中,已有超過95.4%完成憑證更新或轉換為雙憑證,預計7月底前全數完成。
第3,「重整CA團隊組織架構」,整合政府網站與商用網站團隊,統一技術標準與合規流程。第4,成立專責改善團隊,成立跨部門專案小組,導入敏捷管理工具,每週追蹤改善進度。
第5,強化事件應變機制:建立事件應變SOP,4小時內召開會議、72小時內提交報告、1個月內結案。第6,建立合規監控制度,每季召開法規監控會議,從文件到系統進行端對端追蹤。
第7,導入自動化檢查工具,增加檢測工具,建立雙層憑證格式審查機制,減少人工疏漏。第8,規劃重新申請Google信任,預計隨即啟動新根憑證申請,目標2026年3月重返Chrome預設信任清單,持續為台灣提供可信憑證服務。
本文授權轉載自中央社
責任編輯:蘇柔瑋
