Chrome憑證為何出包？中華電信5大QA回應：團隊窒礙難行時，沒有即時向上通報

Google Chrome不再信任中華電信頒發的TLS憑證事件，引起各界關注，中華電信6月17日首度說明事件始末，坦承憑證團隊未即時掌握落實，並提出8項改善作為，目標2026年3月重新取得信任。

針對Google Chrome不再信任中華電信頒發的TLS憑證事件，中華電董事長簡志誠今天親上火線，除了坦承團隊疏失、向社會致歉之外，也強調「無關資安、國安議題」、「影響微乎其微」，團隊提供「5面A4紙」的文件回應，盼一次將相關始末清楚說明，為大眾釋疑。

TLS網站憑證是什麼？

TLS （Transport Layer Security）網站憑證，也常被稱為SSL（Secure Sockets Layer Certificate）憑證， 是由憑證授權機構（Certificate Authority, CA）簽發給網站的「數位身分證」，主要用於Internet網際網路上的身分驗證，效期為數月至1年之間，網站業主需定期更新TLS網站憑證 。

針對TLS網站憑證出問題，是否會影響工商憑證、自然人憑證等其他憑證， 中華電強調，TLS網站憑證是給網站用的，工商憑證則是給企業用的、自然人憑證是給自然人用的，TLS網站憑證和工商憑證、自然人憑證等其他種類並不相同，彼此不會互相影響 。

延伸閱讀：影片｜中華電信不配被信任？一文解析「Google撤銷憑證」關鍵點：背後隱藏3大管理缺失

憑證事件是怎麼回事？

Google Chrome於台灣時間2025年5月30日夜間宣布，因中華電信與Netlock兩家CA憑證授權單位未能在期限內完成必要合規措施（如5日內撤銷及更換憑證等），導致信任度下降，因此自Chrome 139版起，將移除預設信任中華電信及Netlock於2025年7月31日後簽發的TLS網站新憑證。

換言之，如果網站使用中華電信在2025年8月1日之後（含8月1日）發出的TLS憑證，民眾使用Chrome瀏覽該網站時，可能會跳出「不安全網站」的警示畫面。

對此， 中華電信於2025年6月3日表示，從8月1日起將暫停簽發TLS網站憑證，同時再次強調，此次事件雖非憑證存在漏洞或私鑰洩露，也無涉資訊安全或網路安全疑慮 ，但對於社會大眾所造成困擾，中華電信誠摯表達歉意。

影響有哪些？

對網站業主的影響方面，中華電信表示， 於7月31日之前簽發的TLS網站憑證，維持有效，自簽發日起算365日，不會受到任何影響 ，例如，2025年7月31日中華電信簽發憑證A，網站可有效使用至2026年7月30日，網站業主不受任何影響，民眾瀏覽其網站時也與過往無異。

對TLS憑證效期即將到期的網站，中華電信表示，會主動聯繫提醒客戶，免費提供憑證更新，因應客戶需要，中華電信也會提供必要的輔導或轉介其他憑證機構。

對一般民眾的影響方面，中華電表示， 民眾日常使用的政府網站、銀行網站、學校系統等，如上所述，因網站TLS憑證仍在效期內或已提前更新憑證，民眾使用Chrome瀏覽這些網站時，和過往相同，不會出現任何警示或錯誤訊息 。

另外，因中華電信從8月1日起暫停簽發TLS網站憑證，也不會有民眾因為瀏覽到Chrome停止預設信任中華電信新簽發憑證的網站，而出現警示畫面。

中華電信有疏失嗎？

Google Chrome會不斷更新憑證基準規範，CA業者需在新的規範生效後立即依循落實。 中華電坦言，憑證團隊沒有即時掌握並且落實，導致中華電信簽發的部分憑證格式（EKU）不符規定，另外的疏失也包含機關代號和地址欄位的編碼不符合規範要求。

中華電表示，Google Chrome並非不允許有任何不符規事項，也設置其Bugzilla論壇，讓所有人都可以透過公開的技術平台來追蹤問題、回應問題和進行討論，但也有相對應的規則來要求CA業者遇到不符規事項或論壇詢問時的處理方式、時限，憑證團隊沒有確實依照規則和要求去執行。

中華電歸納背後原因重點指出，團隊遇到執行有窒礙難行時，沒有即時向上通報，以快速的尋求解決。例如依照規定，當Bugzilla論壇有詢問時，CA業者需於72小時內回應，但由於依照中華電信和使用憑證客戶的合約，中華電信需經過客戶的審查才能回應論壇提問，所以有幾件無法在72小時內完成回應，造成論壇輿論不滿，認為中華電信反應過慢。

依照規定，CA業者應定期提交合規文件，但由於團隊成員更替、未完整交接，導致承接的團隊成員未在規定時限內提交自評報告。

中華電表示，2024年幾項不合規事項發生後，督導憑證團隊的主管接獲通報，旋即率隊積極與Google溝通並提出改善計畫，Google團隊雖肯定中華電信的改善計畫，但表達需優先採取保護Chrome使用者安全的應對措施，因此取消對中華電信新核發憑證的預設信任，也同時向公司說明可重新申請加入，雙方並持續溝通探討能確保使用者安全的解決方案。

延伸閱讀：「像忘了辦工商登記！」中華電信董座為Google不信任案致歉：憑證跟資安沒有直接關係

中華電如何因應改善？

針對這次憑證事件，中華電信提出8項具體改善，包括：

第1，「停止簽發新憑證」，自2025年8月1日起，全面暫停簽發新TLS憑證，避免影響使用者與網站信任；第2，「全面協助憑證換發」，協助政府與企業客戶提前完成憑證換發，截至6月13日，政府機關使用中華電信TLS憑證的網站中，已有超過95.4%完成憑證更新或轉換為雙憑證，預計7月底前全數完成。

第3，「重整CA團隊組織架構」，整合政府網站與商用網站團隊，統一技術標準與合規流程。第4，成立專責改善團隊，成立跨部門專案小組，導入敏捷管理工具，每週追蹤改善進度。

第5，強化事件應變機制：建立事件應變SOP，4小時內召開會議、72小時內提交報告、1個月內結案。第6，建立合規監控制度，每季召開法規監控會議，從文件到系統進行端對端追蹤。

第7，導入自動化檢查工具，增加檢測工具，建立雙層憑證格式審查機制，減少人工疏漏。第8，規劃重新申請Google信任，預計隨即啟動新根憑證申請，目標2026年3月重返Chrome預設信任清單，持續為台灣提供可信憑證服務。

延伸閱讀：史上最大宗！中國40億筆個資外洩：微信、支付寶⋯消費紀錄全外流，對台灣人有影響嗎？

本文授權轉載自中央社

責任編輯：蘇柔瑋