【一文看懂】為何憑證事件引起軒然大波? 簡志誠親上火線說分明
Google Chrome 近日指出,對中華電信在今年7月31日後簽發的新憑證,將移除預設信任。憑證事件持續延燒,部分輿論直指將對資安甚至國安造成影響。對此,中華電信董事長簡志誠今日(6/17)親上火線,一一說清楚講明白。
Q:甚麼是TLS網站憑證?
TLS 全名是Transport Layer Security網站憑證,也常被稱為SSL (Secure Sockets Layer Certificate)憑證,是由憑證授權機構(Certificate Authority, CA)簽發給網站的「數位身分證」,主要用於Internet網際網路上的身份驗證。
簡志誠舉例,就像成立一家公司要去申請工商登記一樣,成立一個網站也需要申請身分證,代表它是合法網站。因此,「憑證」代表該網站的身分證,跟資安沒有關係,當然也不會有國安議題。
Q:誰負責發放網站憑證?
全世界有數億個網站,而網站的身分證由瀏覽器業者來發。簡志誠說,Google Chrome在全世界找了67家認證機構幫忙發放憑證,需要申請憑證的網站就跟被授權機構申請,申請審核通過就可發放憑證。民眾如果進入沒有憑證的網站,瀏覽器就會跳出警示視窗,表示目前正瀏覽不安全的網站。而台灣有2家憑證發放機構即中華電信和台灣網路認證公司(簡稱台網)。
Q:網站取得TLS憑證後,是否永久有效?
TLS 憑證非永久有效,為了確保網站的安全性,CA憑證授權機構簽發TLS憑證時,即須標註有效期限,大多效期為數月至一年間,網站業主需定期更新TLS網站憑證,才能確保網站持續安全。
Q:此次事件起源為何?
Google Chrome 於今年5月30日夜間宣布,因中華電信與Netlock兩家CA憑證授權單位未能在期限內完成必要合規措施(如5日內撤銷及更換憑證等),導致信任度下降,因此,自Chrome 139版起,將移除預設信任中華電信及Netlock於2025年7月31日後簽發的TLS網站新憑證。
換言之,如果網站使用中華電信在2025年8月1日之後(含8月1日)發出的TLS憑證,民眾使用Chrome瀏覽該網站時,可能會跳出「不安全網站」的警示畫面。
Q:這件事為什麼會發生?
簡志誠說,中華電信憑證團隊對於新生效的憑證基準規範(BR)未即時掌握與落實。Google Chrome 會不斷更新憑證基準規範,CA憑證授權業者需在新的規範生效後立即依循落實,但憑證團隊沒有即時掌握並且落實。
舉例來說:2023年9月15日生效的BR,修訂延伸用途欄位EKU的標註內容,但團隊沒有即時掌握和執行,導致中華電信簽發的部分憑證格式不符規定,另外的疏失也包含機關代號和地址欄位的編碼不符合規範要求。
其次,憑證團隊未能依照「信任根憑證計畫」運作規則確實執行。Google Chrome並非不允許有任何不符規事項,也設置其Bugzilla論壇,讓所有人都可以透過公開的技術平台來追蹤問題、回應問題和進行討論,但也有相對應的規則,來要求CA業者遇到不符規事項或論壇詢問時的處理方式/時限,而中華電信憑證團隊沒有確實依照規則和要求去執行,歸納背後原因的重點是團隊遇到執行有窒礙難行時,沒有即時向上通報、以快速的尋求解決。
依照規定,當Bugzilla論壇有詢問時,CA業者需於72小時內回應,但由於依照中華電信和使用憑證客戶的合約,中華電信需經過客戶的審查才能回應論壇提問,所以有幾件無法在72小時內完成回應,也造成論壇輿論不滿,認為中華電信反應過慢。此外,依照規定,CA業者應定期提交合規文件,但由於團隊成員更替、未完整交接,導致承接的團隊成員未在規定時限內提交自評報告。
簡志誠說,去年幾項不合規事項發生後,督導憑證團隊的主管接獲通報,中華電信隨即率隊積極與Google溝通並提出改善計畫,Google團隊雖肯定中華電信的改善計畫,但表達需優先採取保護Chrome使用者安全的應對措施,因此取消對中華電信新核發憑證的預設信任,也同時向中華電信說明可重新申請加入,雙方並持續溝通探討能確保使用者安全的解決方案。
Q:一般民眾怎麼知道網站是否有TLS網站憑證呢?
當你看到瀏覽器網址列出現 🔒 鎖頭符號,即代表該網站有有效的TLS網站憑證,資料傳輸是加密的,不容易被竊聽或偽造。
Q:TLS網站憑證出問題,是否會影響工商憑證、自然人憑證等其他憑證的使用?
TLS網站憑證是給網站用的,工商憑證則是給企業用的、自然人憑證是給自然人用的,用來驗證企業和民眾的數位身分證明,讓企業和民眾能在網路上使用政府提供的各種服務;也就是說,TLS網站憑證和工商憑證、自然人憑證等其他種類並不相同,彼此不會互相影響。
Q:對一般民眾的影響?
首先,民眾日常使用的政府網站、銀行網站、學校系統等,如上所述,因網站TLS憑證仍在效期內或已提前更新憑證,故民眾使用Chrome瀏覽這些網站時,和過往相同,不會出現任何警示或錯誤訊息。
其次,因中華電信從8月1日起暫停簽發TLS網站憑證,故也不會有民眾因為瀏覽到Chrome停止預設信任中華電信新簽發憑證的網站,而出現警示畫面。
Q:中華電信有甚麼具體改善作為?
1. 停止簽發新憑證:自 2025 年 8 月 1 日起,全面暫停簽發新 TLS 憑證,避免影響使用者與網站信任。
2. 全面協助憑證換發:協助政府與企業客戶提前完成憑證換發,截至6月13 日,政府機關使用中華電信TLS憑證的網站中,已有超過95.4%完成憑證更新或轉換為雙憑證,預計7月底前全數完成。
3. 重整CA團隊組織架構:整合政府網站與商用網站團隊,統一技術標準與合規流程,提升整體管理效能。
4. 成立專責改善團隊:集結最優秀人才,成立跨部門專案小組,導入敏捷管理工具,每週追蹤改善進度。
5. 強化事件應變機制:建立事件應變SOP:4小時內召開會議、72小時內提交報告、1個月內結案。
6. 建立合規監控制度:每季召開法規監控會議,從文件到系統進行端對端追蹤,確保政策落實 。
7. 導入自動化檢查工具:增加檢測工具,建立雙層憑證格式審查機制,減少人工疏漏。
8. 規劃重新申請Google信任:預計隨即啟動新根憑證申請,目標2026年3月重返 Chrome 預設信任清單,持續為台灣提供可信憑證服務。