全球市佔率最高的瀏覽器 Google Chrome 宣布,自 2025 年 8 月 1 日起,將停止預設信任由台灣中華電信及匈牙利 Netlock 在此日期後發佈的新 TLS 伺服器驗證憑證。此決策源於 Google 對這兩家憑證機構 (CA) 持續存在的合規問題與信任度疑慮,預計將對採用其憑證的眾多網站造成影響,用戶存取時可能遭遇安全警示。
信任危機與 Google 政策轉變
Google 指出,此變更主要影響在 2025 年 8 月 1 日後發佈,且最早簽署憑證時間戳 (SCT) 晚於 2025 年 7 月 31 日 23:59:59 PM UTC 的憑證。此政策將適用於 Windows、macOS、ChromeOS、Android 及 Linux 平台上的 Chrome 瀏覽器,iOS 版 Chrome 則不受影響。
TLS 憑證是確保網站與使用者間加密連線、保護資料傳輸安全的關鍵。Google 表示,中華電信與 Netlock 未能達到嚴格的行業標準。
中華電信回擊
而針對Google 指控,中華電信 2日發出四點聲明,強調發行之憑證安全無虞,請所有民眾放心:
一、中華電信經營及其受委託營運的公開服務的憑證管理中心,完全遵守且符合電子簽章法的規範,並皆通過WebTrust for CA及ISO 27001等國際標準外部稽核與驗證,所提供的數位簽章都具有法律效力,請所有客戶及使用者安心。
二、此次Google Chrome發布自Chrome 139 版起將移除預設信任中華電信於 2025年7月31日後簽發的新憑證,原因是部分程序未能在Chrome新政策要求的時限內調整完成,雖日前中華電信已完成所有調整且全數符合Chrome新政策要求,遺憾的是,Google Chrome仍決定先移除預設信任,移除的原因絕非是因憑證存在漏洞或私鑰洩漏,中華電信仍會積極爭取Chrome的預設信任,並預期在2026年3月完成。
三、中華電信表示,所有於2025年7月31日之前發行的憑證均不受影響;2025年7月31日之後發行的憑證,受影響範圍限於用於 Chrome瀏覽器時,至於使用微軟、蘋果等其他瀏覽器,則完全不受影響。
四、中華電信強調,因中華電信簽發的憑證完全合法合規,故客戶持憑證在政府、金融、證券、數位簽章等應用時,皆維持正常使用,不受任何影響,敬請民眾放心。
業界人士透露
而為何中華電信不能配合Google Chrome完成新政策調整?據資安經歷10年的業界人士指出,中華電信身為國內ISP龍頭,自然在推進新版TLS協議上,有一定的包袱與困難,主要壓力來自於政府相關行政命令法規的更新與民間與政府單位的憑證更換尚未完成。
過去更是為了支援舊版公務員的 XP 與 WIN7 系統 IE 瀏覽器,與政府相關單位多次周旋,而這次Google Chrome 對於新版憑證也對中華電信等主要憑證供應商造成了壓力,專家建議為避免民間在7月31日後,由中華電信提供憑證的相關網站無法讓任何民眾瀏覽使用,過去向中華電信採購憑證的企業用戶、政府相關採購單位,應盡快與中華電信取得新版憑證、並更新網頁。而為了避免更多流量損失,有關單位應該盡快更進相關動作或甚至頒布行政法規與公告來加速汰換。
資訊來源: BLOCKTEMPO