網站還敢用中華電信憑證?TLS憑證遭Google下架,三大缺失成關鍵

2025-06-16
網站還敢用中華電信憑證?TLS憑證遭Google下架,三大缺失成關鍵

文章目錄

2025 年 5 月 30 日,Google Security Blog 宣布,將自 8 月 1 日起停止預設信任由中華電信簽發的 TLS 憑證。此舉不僅對中華電信本身構成衝擊,也牽動政府機關、金融業與眾多企業網站的資訊安全,對台灣的數位信任體系敲響警鐘。

究竟什麼是 TLS 憑證?Google 為何做出如此重大決策?中華電信在管理上又出現哪些疏失?本文將釐清事件背景、影響範圍與後續發展。

TLS 憑證為什麼重要?失去信任會發生什麼事?

TLS(Transport Layer Security)憑證是網站在網路上的數位身分證,主要用途包括資料加密與身分驗證,能保障用戶與網站間的傳輸不被竊聽或竄改。

一旦憑證遭撤信,使用者透過 Chrome 等主流瀏覽器造訪該網站時,將看到「你的連線不是私人連線」等警告訊息,甚至可能被阻擋無法瀏覽。對於需登入、付款、或使用憑證驗證的網站而言,將嚴重影響正常運作與用戶信任。

Connection Not Private

哪些網站與平台會受到影響?

影響範圍主要集中於 2025 年 8 月 1 日起使用由中華電信新簽發的 TLS 憑證 的網站。具體情形如下:

  • 2025 年 7 月 31 日前簽發的憑證:仍可持續使用至有效期限屆滿,不受此次變更影響。
  • Chrome 139(含)以上版本,在 Windows、macOS、Linux、Android 裝置上將阻擋中華電信新憑證。
  • iOS 上的 Chrome 瀏覽器:由於使用 Apple 的信任機制,目前暫不受影響。

換言之,若網站未及時更換受信任的憑證來源,將面臨部分用戶無法正常連線的風險,影響營運與品牌形象。

Google 為什麼撤銷中華電信憑證?

Google 此次決定並非因中華電信憑證出現明確資安漏洞或私鑰外洩,而是針對其憑證簽發與管理流程的合規性、透明度與責任制度產生嚴重疑慮。根據 Google 和 Mozilla 的公開說明,主要問題包括以下三點:

1. 憑證欄位設定錯誤

GTLSCA 簽發的憑證中,Extended Key Usage(EKU) 欄位設定不符合憑證業界標準,導致 2023 年 9 月至 2024 年 3 月間,共有 6,450 張不合規憑證簽出。此錯誤長時間未被內部發現,直到外部通報才緊急撤銷。錯誤欄位設定可能使瀏覽器無法正確辨識憑證用途,降低通訊安全。

2. 稽核報告遞交延誤

中華電信 2023 年度自我稽核報告未按時提交,多次遭憑證監管社群催繳。甚至一度錯誤上傳 2024 年版本,並詢問是否可用來遞補 2023 年的缺件。其延誤理由為「人員異動未交接」,暴露內部合規流程與責任制度的薄弱。

3. 對外回應與改善計畫不足

面對國際社群質疑,中華電信僅表示此次事件並非因憑證漏洞或私鑰洩漏,並未提出具體改善時程與措施。對 Google 撤信的回應僅以「表達遺憾」作結,缺乏積極態度,進一步影響外界對其信任與期望。

綜合以上問題,Google 判定中華電信未能在合理期限內完成必要改善,因此決定正式移除其預設信任地位。

事件影響範圍有多大?

中華電信長期為國內憑證發行主要機構,服務對象包含眾多政府機關、金融機構與中大型企業。根據統計,Chrome 瀏覽器在台灣市占率超過 70%,因此一旦網站繼續使用中華電信新憑證,將面臨絕大多數用戶出現安全警告或無法連線的狀況,嚴重影響使用體驗與品牌信譽。

受到直接影響的設備包括:

  • Windows、macOS、Linux、Android 裝置上安裝 Chrome 139(含以上版本);
  • iOS 裝置上的 Chrome 因使用蘋果內建憑證信任機制,暫不受影響。

相比之下,使用如 Let’s Encrypt、GlobalSign、DigiCert 等國際主流憑證機構簽發的憑證則不受影響,瀏覽器可正常建立加密連線,顯示安全鎖標誌。

中華電信與數位發展部的回應與後續安排

針對此次事件,中華電信已於公告中表示,將自 2025 年 8 月 1 日起 全面暫停 TLS 憑證的簽發服務,並同步啟動因應措施:

  • 7 月 31 日前簽發、且仍在有效期內的憑證:將不受影響,可持續使用至憑證到期。
  • 現有用戶服務中華電信將主動聯繫用戶,提供免費憑證更換或協助轉介至其他受信任的憑證機構(CA),確保網站連線不中斷。
  • 非網站用途的憑證(如自然人憑證、工商憑證、政府數位簽章等):並未列入此次撤信範圍,仍可正常應用於金融交易、身分驗證與電子簽署等場景。
  • 後續計畫:中華電信預計於 2026 年 3 月前完成合規機制的修正與補強,並重新向 Google 提出信任資格的申請。

另一方面,數位發展部也做出回應,指出政府機關自 2025 年 3 月起已全面導入「雙憑證機制」,採用由其他國內憑證機構簽發的 TLS 憑證,確保在 Chrome 等主流瀏覽器上的兼容性。目前多數政府網站所使用的憑證仍在有效期內,民眾瀏覽不會出現信任警告或功能異常。

中華電信內部懲處出爐,積極補救申請恢復信任

在 Google 宣布撤銷中華電信 TLS 憑證信任後,相關內部懲處結果近期出爐。中華電信資訊技術分公司總經理已遭記過處分,團隊內部其他成員也依職責疏失情節,分別受到記過及申誡等處分。據了解,處長級以下人員的懲處需經人事評議會審核,因此完整懲處名單稍晚才正式公布。

根據中華電信說明,事件起因可追溯至一年多前。當時 Google 要求中華電信針對憑證欄位進行調整,但因內部工程人員作業疏忽,未能如期完成,導致信任問題發生。中華電信強調,這次事件屬於商業技術層次問題,與國安及資安無直接關聯,然而主管監督疏失仍是關鍵成因。

雖然 Google 自 2025 年 7 月 31 日起停止信任中華電信新簽發的 TLS 憑證,但 7 月 31 日前已簽發的憑證仍具有一年效期,短期內對政府部門與企業用戶的實際影響相對有限。

另一方面,中華電信也積極展開補救行動,自 2025 年 3 月起已完成符合 Google 新政策要求的技術調整,並重新提出申請恢復信任。由於審查需經第三方驗證機構審核,預計最快將於 2026 年 3 月重新取得 Google Chrome TLS 憑證的預設信任資格。