作者:
F16V (Manners maketh man.)
2025-06-05 09:27:04壹蘋/李俊毅
Google大動作宣布撤銷中華電信、行政院TLS信任憑證 科技立委說重話了
國民黨立委葛如鈞2日踢爆,近日Google對外宣布,將不信任、不接受中華電信及其政府鏈(行政院 GTLSCA)於 7 月 31 日 之後簽發的所有新憑證 。受影響單位須盡速換發或改用其他公信 CA,例如 TWCA,否則屆時將看到整頁紅色警示。他說,簡單講,本來用瀏覽器網址列左方都會有個信任鑰匙鎖圖案,這個小小圖標代表了無數網路公司、憑證簽發單位以及申用單位的努力,共同建立一個可信賴的網路;但是這次 Google 官方部落格罕見發稿並向整個網路世界點名宣告「中華電信」和「行政院」這兩個機關:不可信賴!並且將在 Chrome 瀏覽器(v139
以上)撤銷對他們的預設信任。
葛如鈞表示,Google 這次在官網中詳細說明將阻擋「中華電信(Chunghwa Telecom)」和「行政院」關連的所有(受簽發憑證)網站的理由是「一連串的合規失敗、未兌現的改進承諾,以及對公開披露的事件報告缺乏具體、可衡量的進展。(a pattern of
compliance failures, unmet improvement commitments, and the absence of
tangible, measurable progress in response to publicly disclosed incident
reports.)」這不是一件小事,在 Google Chrome 對外公告的審查結果當中說明,此次
決定撤除對中華電信(和行政院)憑證的預設信任,主因是:「CA 長期、反覆出現 合規通報延遲、撤銷不及、稽核與揭露欠缺透明 等違反 CA/Browser Forum 基準要求 (BR)
的問題」這是一種巨大的合規缺漏與流程缺陷,流程缺陷可能增加詐騙網站取得有效憑證的機率。
他解釋,換句話說,未來用戶連結中華電信簽發的政府、金融、證券、數位簽章等應用,如果該網站沒有更新為 Google 信任的憑證,在 Chrome 瀏覽器旁的鑰匙圖案就會變為紅色驚嘆號提醒為不安全,甚至會整頁阻擋。這幾乎是天大的笑話與醜聞,沒想到整個網路世界第一次清楚學會 「Chunghwa Telecom」兩個英文單字代表中華電信 , 和「行政院」三個繁體中文字,竟然是從谷歌資安團隊部落格向全世界發出的警示學習得到。
換句話說,流程缺陷 → 風險放大 → 詐騙網站可能更容易拿到(或繼續使用)有效憑證,當驗證鬆散或撤銷遲緩時,即使沒有「蓄意共謀」,攻擊者也能更輕易取得或長期持有有效憑證,用來包裝釣魚/詐騙網站!
https://reurl.cc/Z4k4X6
Google 在官網中詳細說明將阻擋「中華電信(Chunghwa Telecom)」和「行政院」關連 的所有(受簽發憑證)網站。翻攝自Google網站 他質疑,這樣的數位政府,還值得信任嗎?這樣的中華電信,還值得信賴嗎?如何能讓人 民相信您們能管好資安、國安或其他的安全?更可怕的是中華電信的新聞稿,避重就輕不 談,甚至說「受影響範圍限於用於 Chrome瀏覽器時,至於使用微軟、蘋果等其他瀏覽器 ,則完全不受影響。」翻譯意思就是「你不要用 Chrome 就好了!」。 葛如鈞忍不住驚呼,Chrome 怎麼說也是世界上佔有率第一名(高達約 65%)的瀏覽器,
這竟然是中華電信新聞稿的最後一點結論!?這跟簡訊會詐騙、iMessage 會詐騙,那不 要用簡訊、關閉 iMessage 就好!銀行有反洗錢問題,那就讓開戶變困難、轉帳金額變小 就好!金融帳戶有防詐需求,那就不斷查核用戶身分擾民重填不然就鎖帳戶就好!長者太 容易被詐團盯上?那就頒佈臺灣銀行新法則,帳戶半年未交易就凍結「無法提款、轉帳」 不就好了!? 很難不讓人聯想,我們的政府一邊喊數位韌性、資通安全、個資保護,一邊大聲疾呼增加 預算打詐、防詐,但率先被全球最大瀏覽器公告為不信任的,竟然正正就是我們的官股電 信公司、大到不能倒的 -
中華電信,以及最高行政機關 - 行政院(憑證主體 O=Executive Yuan, C=TW 但 上層是 Chunghwa ePKI Root)!?這是否恰恰證明了整個 行政機關、官股體系不值得信賴?還是證明了詐騙產業的敵人就在本能寺?
https://i.imgur.com/r4gKjTL.png
中華電信聲明稿。中華電信官網 葛如鈞說,自己依舊相信,中華電信、政府單位、機關法人內部都有戮力從供的工程師和 公務員,但顯然是盤根錯節的內部結構或是某些責任層級已不再值得信任 — 至少不再值 得 Google 信任。有關單位高喊打詐、防詐、資安即國安,但對網路信任、數位信任、個 資信任的核心「中華電信」竟鬆散無作為,甚至是變本加厲的放任數位信任被濫用 — 「 由於過去一年觀察到的令人擔憂的行為模式,Chrome 對中華電信...的可靠性的信心已減 弱。
這些模式代表了『誠信的喪失』,未能達到期望,侵蝕了這些認證機構作為 Chrome 默認信任的公開信任憑證發行者的信任。(Chrome's confidence in the reliability of Chunghwa Telecom… has diminished due to patterns of 『concerning behavior 』 observed over the past year. These patterns represent 『a loss of integrity 』 and fall short of expectations, eroding trust in these CA Owners as publicly-trusted certificate issuers trusted by default in Chrome.)」
其原文措 詞激烈程度,不再話下,故說是引發科技圈核爆,完全不虛假。 針對Google宣布Chrome將從2025年8月1日起,不再信任中華電信和NetLock頒發的TLS憑證 。中華電信對此解釋,移除的原因是部分程序未能在Chrome新政策要求的時限內調整完成 ,中華電信預期在2026年3月完成,但所有於2025年7月31日前發行的憑證均不受影響。
https://tw.nextapple.com/finance/20250603/1EE4AB2B958BDB4B6FEEE77EC11BC9D8