快訊/Google取消憑證爆「誠信有缺失」 中華電信晚間再道歉
快訊/Google取消憑證爆「誠信有缺失」 中華電信晚間再道歉
資料來源: https://www.msn.com/zh-tw/news/living/%E5%BF%AB%E8%A8%8A-google%E5%8F%96%E6%B6%88%E6%86%91%E8%AD%89%E7%88%86-%E8%AA%A0%E4%BF%A1%E6%9C%89%E7%BC%BA%E5%A4%B1-%E4%B8%AD%E8%8F%AF%E9%9B%BB%E4%BF%A1%E6%99%9A%E9%96%93%E5%86%8D%E9%81%93%E6%AD%89/ar-AA1FZXRY?ocid=msedgdhp&pc=U531&cvid=a1dcb902f77943b1b3c8b436e316222a&ei=22
Google日前公告,將於7月底取消中華電信TLS網站憑證,理由為中華電信「誠信有缺失」,過去一年中在預設信任憑證機構上的行為模式,出現多起令人憂慮的事件,引起社會關注。針對此事件,國民黨立委葛如鈞形容,這將引發「核彈級的數位信任大爆炸」;對此,中華電信晚間再次聲明,強調「憑證事件無涉資訊安全與網路安全」,並向社會大眾道歉,承諾將於明(2026)年3月前,完成Google Chrome TLS網站憑證的預設信任。
中華電信聲明全文如下:
憑證事件無涉資訊安全與網路安全 一、此次因本公司未能及時達成Google Chrome政策之要求,Google將停止預設信任中華電信7月31日後簽發的TLS (Transport Layer Security)網站憑證;8月1日起,本公司將暫停簽發TLS網站憑證。此雖非憑證存在漏洞或私鑰洩露,亦無涉資訊安全或網路安全疑慮,但對於社會大眾所造成之困擾,中華電信深表歉意。 二、政府單位及企業客戶網站使用中華電信於7月31日之前簽發的TLS網站憑證,在該憑證有效期限內(自簽發日起算365日)均不會受到任何影響。本公司也會主動聯繫提醒TLS網站憑證效期將到期之客戶,免費提供TLS網站憑證更新,並協助必要之輔導或轉介其他憑證機構。 三、一般民眾瀏覽網站或持有中華電信簽發或受委託營運的憑證(包括:政府憑證、工商憑證、自然人憑證…等)在政府、金融、證券、數位簽章等應用上,皆維持正常使用,不受影響,敬請民眾安心。 四、本公司將盡最大努力持續精進憑證營運管理,並期於2026年3月前完成Google Chrome TLS網站憑證的預設信任。
One thought on “快訊/Google取消憑證爆「誠信有缺失」 中華電信晚間再道歉”
Google不信任中華電憑證,有哪些核心原因?
https://www.bnext.com.tw/article/83455/google-security-cht-2025
根據粉專《雷神講堂》揭露軟體缺陷追蹤網站Bugzilla中的資訊,透過解讀中華電信代表 Leo Fang的發言,可發覺中華電信簽發憑證不被Google信任得原因,可歸咎於以下三點:
一、不合規操作:EKU (Extended Key Usage) 欄位標記錯誤
違反標準: 未遵守 CA/B Forum 的 Baseline Requirements (BR) v2.0.0 規定,該規定要求憑證中的 EKU 欄位必須標記為「非重大關鍵 (non-critical)」。中華電信旗下的 GTLSCA 持續將其錯誤標記為「重大關鍵」。
延遲發現與處理:長達半年(2023年9月至2024年3月)才意識到錯誤並停止錯誤標記。
3.大量錯誤憑證:在此期間發出了6450份不合規的憑證。
4.處理效率不佳:發現問題後,事件報告並不清楚,被質疑後續處理「被擠牙膏才講出來」,且直到被公開質疑後,拖延至2024年5月才完成撤銷。
5.缺乏透明度:在EKU事件處理過程中,行為不夠公開透明,需要外界不斷催促才提供進度。
若要白話解釋EKU標示錯誤的問題,可以說在「網路身分證」(也就是憑證)上,有一個欄位叫做 EKU, 它說明了這張「身分證」可以用來做什麼。例如,是用來證明網站身分?還是用來加密郵件?還是用來簽署軟體? 這就像護照上可能會註明「僅限觀光」或「可工作」之類的用途。
而錯誤標示重大關鍵 (critical)或非重大關鍵 (non-critical)的問題, 就像在身分證上蓋錯章,原本只是註明「這個人可以做某些事」,卻誤標成「沒有這個章就不合法」 ,導致系統無法正確辨識,會直接影響憑證的可用性和可信度。
二、內控不足:年度自評報告延遲繳交
1.多次催繳未果: 2023年度的自我評估報告,經 Root CA 團隊多次(2023年9月、2024年3月、2025年1月)催繳,中華電信仍未提交。
2.藉口不充分:以負責人「職位調動卻沒交接」作為延遲近兩年未繳交的理由,顯示內部管理和交接流程有嚴重問題。
3.狀況外: 在2025年1月被催繳2023年報告後,隔天卻提交了2024年的報告,並詢問2023年的報告是否能用新格式補交,顯示對合規要求的掌握不足。
Google和Mozilla批評:這些行為顯示中華電信「合規性不足」與「缺乏有效管理」。
三、回應機制失靈
1.強調「非安全性漏洞」:在對外聲明以及對 Google/Mozilla 的報告中,中華電信反覆強調問題「非憑證漏洞或私鑰洩漏」、「沒有對憑證頒發過程有直接影響」,試圖淡化其在合規性、管理流程上的嚴重缺失。
2.對 Google 決定表示「遺憾」: 而非反省其「Authority」(權威性)是為何喪失的。