7月29日更新:
中華電信表示,已於7月25日完成所有政府及企業客戶網站的Google憑證更新及換發作業。所有同意更新憑證之客戶網站,均已完成憑證換發,效期最長可達一年。此外,中華電信也提升「憑證政策管理委員會」層級、導入第三方稽核制度,力拚2026年3月底前重返信任名單。
Google撤銷中華電信核發傳輸層安全通訊協定(TLS)憑證的權限進入到數計時,國民黨立法委員葛如鈞7月10日召開記者會,質疑數位發展部稱政府機關已經啟動雙憑證備援機制為假。
對此,中華電信董事長簡志誠親上火線, 重申中華電信發的憑證會持續有效,不存在8月1日之後就失效的問題。
記者會上,葛如鈞搬出數據資料,指出行政院所屬31個部會中,有14個已轉用臺灣網路認證股份有限公司(TWCA)憑證、3個改用國外所發行的伺服器憑證,但仍有14個部會使用中華電信憑證,占比45.1%。
葛如鈞並現場測試移除交通部和數發部網站的中華電信憑證,表示這些政府網站並不會自動切換到TWCA,而是跳出資安警告畫面。
簡志誠闢謠:中華電信合法憑證不會失效
簡志誠隨即召開記者會闢謠,指出該展示是將中華電信的合法憑證,直接從網站刪除,「那就沒有合法的憑證,當然會不能用!只要放著中華電信的憑證就持續有效。」
中華電信執行副總經理暨技術長黃志雄解釋,所謂政府部門的雙憑證備援機制,除了新申請TWCA憑證之外,中華電信也在7月底之前,協助客戶重新核發網站憑證,以展延1年期限、至少到明年下半年。 也就是說,政府網站無論使用中華電信或TWCA的憑證,在到期日為止,都不會失效或出現警告畫面。
而中華電信日前表示,預計明年3月之前能重新申請到Google的憑證核發資格,意思是若申請流程順利,中華電信能即時趕在已核發憑證到期前,重返Google憑證核發機構之一。
即使情況不如預期,以政府部門網站來說,因為雙憑證備援機制,仍然能使用TWCA或其它機構核發的憑證。
簡志誠6點聲明:中華電信負責到底
簡志誠表示,台灣大約39.6萬個網站都需要核發憑證,中華電信僅負責其中2,000多張,但「發出去的憑證要負責到底」,他說明除了政府網站,中華電信也逐一聯絡其它商業網站客戶,超過9成已協助更新或換發憑證,剩下的1成商業網站和7個政府網站,正在申請中,預計月底前完成。
簡志誠也提出6點聲明:
一、所有中華電信發出去的憑證持續有效。
二、憑證代表網站的合法身分證,本次事件本身無涉資安或國安。
三、針對葛如鈞指出,除了Google之外,Mozilla的Firefox瀏覽器也撤銷中華電信憑證,簡志誠表示中華電信已配合Mozilla於4月向全球憑證核發公司提出的更新要求,並沒有被取消。
四、目前政府11,800多個網站憑證已經重發,完成率99.9%,只剩下7個網站還在申請。
五、展示直接把中華電信憑證刪除,實際上不會發生這種狀況。
六、發憑證就像工商登記,屬於商業機制,無涉政府或相關單位。
延伸閱讀:「像忘了辦工商登記!」中華電信董座為Google不信任案致歉:憑證跟資安沒有直接關係
中華電信不配被信任?一文解析「Google撤銷憑證」關鍵點:背後隱藏3大管理缺失
責任編輯:李先泰
