Google日前宣布自2025年8月1日起,撤除Chrome瀏覽器中對中華電信所簽發TLS憑證的預設信任,此舉將導致部分使用中華電信新憑證的網站,在Chrome瀏覽器上出現「連線不安全」警告,雖中華電信對外表示這無涉資訊安全與網路安全並將採取相關因應措施,但卻引發不少網站用戶議論與恐慌。
為何中華電信發行SSL/TLS 憑證網站會被Google認定成不信任呢? 哪些網站可能受到影響呢? 一般民眾該如何因應呢? 以下作一說明:
1.為何中華電信發行SSL/TLS 憑證網站會被Google認定成不信任呢?
Google 6月5日宣布自2025年8月1日起,撤除Chrome瀏覽器中對中華電信所簽發TLS憑證的預設信任,將導致部分使用中華電信新憑證的網站,在Chrome瀏覽器上出現「連線不安全」警告。由於不少政府機構與企業網站使用中華電信發行SSL/TLS 憑證,引起不少用戶議論與恐慌。
根據Google官方說明,此次撤信並非因憑證本身有資安漏洞或私鑰外洩,而是基於「合規流程」與「信任治理」的考量。Google指出,過去一年觀察到中華電信在合規通報、撤銷程序、稽核透明度、事件回應與改善承諾落實等方面皆未達標,屢次違反Chrome對信任機構的要求,最終做出撤信決定。據媒體報導,中華電信主要有三大違規項目如下:
A.發行憑證不合歸卻不配合在規定時效內撤除:
2024 年 5 月至 6 月期間,中華電信簽發了 12,911 張不符合相關規範憑證,但未能在 CA/Browser Forum 所規定的 5 天時限內完成撤銷。中華電信表示,撤銷作業受限於用戶配合程度及公部門作業流程,導致無法遵循 Baseline Requirements 第 4.9.1.1 條所訂的撤銷時效要求。
B.未於規範期限內繳交合規性自評報告:
中華電信未於 2023 年度完成提交CCADB 規定之合規性自評報告,儘管 Mozilla Root CA Program 多次提醒,直到 2025 年 1 月才補交 2024 年的報告,並詢問是否可以使用新版格式補交 2023 年的資料。Mozilla 官方認為,這顯示中華電信缺乏完善的內部交接與流程控管,明顯不符合公開信任憑證機構應具備的治理標準。
C.部分憑證未送交 CT 日誌:
中華電信未能完全遵循Google Chrome規定之所有公開 TLS 憑證必須提交至至少兩個 Certificate Transparency(CT)日誌要求,部分憑證並未送交 CT 日誌,導致信任鏈驗證不完整,影響瀏覽器對網站的認證結果。
中華電信有哪些補救措施呢?
此次Chrome撤銷中華電信所簽發TLS憑證影響範圍主要是為2025年8月1日以後由中華電信發行TLS憑證的網站或是2025/8/1~2026/3期間TLS憑證到期的網站。
中華電信發出聲明表示,此次事件並非憑證安全出問題,而是因內部作業未及時調整,以符合Chrome新政策所致。除將於2025年8月1日起暫停簽發TLS網站憑證外,也會主動聯繫提醒TLS網站憑證效期將到期之客戶,免費提供TLS網站憑證更新,並協助必要之輔導或轉介其他憑證機構。中華電信進一步表示,已完成所有相容性修正,並積極爭取在2026年3月重新納入Chrome預設信任;數發部則表示已掌握相關狀況,並自今年3月起陸續協助各部會全面導入【雙憑證機制】,導入符合公開信任標準的國產憑證,以確保政策轉換期間服務不中斷。
網站憑證不被信任會有什麼影響呢?
當網站因發行機構被撤銷信任,將會造成造訪網站可能會出現「您的連線不是私人連線」的紅色警告畫面,甚至無法正常進入網站。由於該警示是防範民眾造訪詐騙或竊資網站的手段之一。當政府或是公家機構網站出現紅色警告畫面,除了會影響民眾造訪的意願,也有可能讓詐騙網站藉此空檔複製更多仿冒的網站來去竊取民眾個資或進行詐騙;對於網站持有者,則恐因此造成流量大幅降低,影響網站應有功能與效益。
2.哪些網站可能受到影響呢? 該如何因應呢?
這次事件主要是中華電信內部未依循Chrome對信任機構的要求所致,影響層面僅限中華電信所簽發TLS憑證的網站。不過中華電信是台灣網站主要簽發TLS憑證的CA機構之一,若未及時採取有效補救措施,對於其簽發的政府機構、銀行、企業的網站影響不小。
雖然中華電信表示將會主動其簽發TLS網站憑證效期將到期之客戶,並免費提供TLS網站憑證更新及協助必要之輔導或轉介其他憑證機構。不過,為避免未能及時獲得中華電信通知而延誤TLS憑證更新,建議網站持有人可以自行查詢本身網站使用SSL安全憑證發行者及憑證主動出擊。
如何查詢網站使用的TLS憑證發行者呢?
使用Chrome瀏覽器時,在網址欄中點選左方顯示【符號】,會出現一個鎖頭圖示的【已建立安全連線】,再點選【憑證有效】,就查看憑證的詳細信息,包括憑證發行者、發證對象、有效期等,來驗證網站的信任度。
若發行者的組織是「Chunghwa Telecom Co., Ltd.」就代表將可能受到影響,若非中華電信則無須擔心。當發行者的組織是「Chunghwa Telecom Co., Ltd.」,則請確認憑證的有效期限。若到期日在2025/8/1~2026/3/31期間,就可能受到此波撤銷憑證的影響,建議提前洽詢中華電信尋求補救措施(免費提供TLS網站憑證更新及協助必要之輔導或轉介其他憑證機構)。因中華電信簽發的對象不少是政府或是公家機構,考量公部門都有一定作業申請變更流程,建議相關機構應提前因應,不要等被撤銷才臨時抱佛腳,造成民眾困擾!
由於政府機構已經導入【雙憑證機制】,中華電信也會在8/1起停發憑證並對於有影響的網站提出補助措施,此事件的負面影響將可望降到最低。若民眾8/1起遇到平時使用的網站出現出現「您的連線不是私人連線」的紅色警告畫面,則可以改用其他瀏覽器或是點選「進階」後的「繼續前往」進行造訪。
不過,身為台灣網路與電信龍頭的中華電信出現此次被最大瀏覽器網站判定失格實在是內部人員交接與管理上的一大污點,除應盡早重新取得Chrome預設信任並做好善後補救措施,更需痛定思痛,強化內部管理機制並尊重配合業者規範,避免喪失客戶與民眾的信任。