中華電信憑證遭 Google 宣布將撤除預設信任已成定局。根據 Google Chrome 根憑證計畫公告與 Mozilla 公開記錄,包含 GTLSCA、ePKI、HiPKI 在內的根憑證,將自 2025 年 8 月 1 日起不再受到 Chrome 信任。
本文主要內容
綜合 Mozilla Bugzilla、Common CA Database(CCADB)與 Google Security Blog 等公開資料,目前已確認至少六項明確的合規問題,涵蓋憑證格式錯誤、撤銷流程瑕疵、通報延遲、資訊透明度不足,以及缺乏持續改善等情形,影響超過 1 萬 9000 張憑證。
Extended Key Usage 欄位設定錯誤
GTLSCA 自 2023 年 9 月起所簽發的憑證,錯誤地將 Extended Key Usage(EKU)欄位標示為 critical,違反 CA/Browser Forum Baseline Requirements v2.0.0 的明文規定。根據標準,EKU 欄位應標示為 non-critical。此錯誤持續超過半年,影響憑證數量達 6,450 張。直到 2024 年 3 月才停止錯誤設定,並於 5 月完成部分憑證撤銷作業。
換句話說,這就像是在身分證上蓋錯章,原本只是註明「這個人可以做某些事」,卻誤標成「沒有這個章就不合法」,導致系統無法正確辨識,甚至可能讓網站無法正常開啟。
資料來源:Mozilla Bugzilla #1892419
SubjectDirectoryAttributes 憑證延遲撤銷
2024 年 5 月至 6 月期間,中華電信簽發了 12,911 張包含 SubjectDirectoryAttributes(OID 2.5.29.9)欄位的憑證。事後經確認,這些憑證不符合相關規範,但未能在 CA/Browser Forum 所規定的 5 天時限內完成撤銷。中華電信表示,撤銷作業受限於用戶配合程度及公部門作業流程,導致無法遵循 Baseline Requirements 第 4.9.1.1 條所訂的撤銷時效要求。
換句話說,這就像官方一次發出一大堆有誤的證件,照理說應該在五天內全面回收,但中華電信表示「用戶太多不好收」,結果拖了很久才慢慢撤回,導致這些有問題的憑證在外部系統中持續流通。
資料來源:Mozilla Bugzilla #1903066
自我評估報告延遲一年未繳交
依照 CCADB 規定,憑證機構每年須提交合規性自評報告。然而,中華電信未於 2023 年度完成提交,儘管 Mozilla Root CA Program 多次提醒,直到 2025 年 1 月才補交 2024 年的報告,並詢問是否可以使用新版格式補交 2023 年的資料。Mozilla 官方認為,這顯示中華電信缺乏完善的內部交接與流程控管,明顯不符合公開信任憑證機構應具備的治理標準。
換句話說,就像每年都要交一份自我檢查表,中華電信不但連兩年沒交,還反問「可不可以用今年的格式補去年的」,整體看起來就是忘記了、也沒在追蹤,讓人覺得相當不負責任。
資料來源:Mozilla Incident Dashboard
憑證透明度提交不完全
自 2022 年起,Google Chrome 根憑證政策明確規定,所有公開 TLS 憑證必須提交至至少兩個 Certificate Transparency(CT)日誌。然而,中華電信未能完全遵循此要求,部分憑證未送交 CT 日誌,導致信任鏈驗證不完整,影響瀏覽器對網站的認證結果。
換句話說,這就像蓋印章前要先登記在官方資料庫,中華電信有些憑證沒照規定登記,瀏覽器查不到紀錄,就會跳出警告,提醒使用者該網站可能有安全問題。
資料來源:Google Security Blog 2025 年 5 月公告
缺乏可量化之改善成效
根據 Google 的評估,中華電信在上述多起違規事件中,未提出具體且可驗證的改進計畫,也未定期回報實際執行進度。Google 在官方聲明中表示,過去一年中華電信在處理公開事件的表現,無法達到 Chrome Root Store 對憑證機構(CA)所設定的基本信任標準。
換句話說,出問題後不但沒拿出清楚的改善計畫,也沒說明到底做了哪些改進,Google 認為這家公司根本沒打算認真處理,乾脆直接取消信任資格。
資料來源:Google Security Blog
事件通報延遲與處理不透明
在 EKU 設定錯誤與延遲撤銷相關事件中,中華電信於 Mozilla Bugzilla 上的通報與回應進度明顯落後,經常需仰賴社群成員反覆催促才更新狀態,顯示其缺乏有效的應變機制與資訊透明流程。Mozilla 管理人員也在公開紀錄中批評,中華電信的通報表現未達預期標準。
換句話說,別人發現問題要你出面說明,你拖了老半天才回,內容又說得不清不楚,還要社群一催再催才肯處理,整體做法讓人看了很不爽。
對一般民眾的實際影響
自 2025 年 8 月起,若民眾使用 Chrome 瀏覽器造訪仍使用中華電信憑證的網站(例如政府機關、學校或公營機構),可能會出現「您的連線不是私人連線」的紅色警告畫面,甚至無法正常進入網站。這可能不是電腦故障,也不是網站遭駭,而是因為該網站所使用的憑證是由 Google 已不再信任的憑證機構簽發。
遇到這種情況時,可以採取以下做法:
- 確認網站來源無誤:如果你是直接輸入網址、或透過書籤、熟悉的政府入口連結前往,且該網站平常就是你使用的官方網站,可以點選「進階」後的「繼續前往」,網站仍可正常使用。這樣的情況下,風險來自 Chrome 的預防性封鎖,不等於實際被駭。
- 避免從可疑連結前往網站:若是從 Email、社群、廣告或陌生連結點入,建議不要繼續前往,避免誤入仿冒網站而不自知。
- 改用其他瀏覽器:如需穩定使用,也可改用 Firefox 或 Safari 等仍接受中華電信憑證的瀏覽器,網站將不會顯示警告畫面。
為促使中華電信及相關政府機關正視這場憑證信任危機,加速錯誤修正與完成憑證替換,民眾不妨主動表達關切。建議可透過數位發展部民意信箱、國家通訊傳播委員會(NCC)意見反映平台,或聯繫所屬選區的立法委員進行陳情,要求相關單位:
- 清楚說明中華電信的違規事實與處理進度
- 提出具體時程、改善計畫與替代憑證轉換方案
- 對受影響的政府網站啟動全面盤點與補救行動
當民眾集體表達訴求,能促使主管機關正視問題嚴重性,避免民眾在使用政府網站時持續遇到錯誤畫面或安全警告,進而強化政府數位服務的公信力與可用性。
考慮購車的您,可透過 專屬推薦連結 於官網訂購,或提供推薦碼給銷售顧問,即可享有 NT$8,000 購車優惠。若有任何問題,歡迎加入 LINE 官方帳號,免費領取交車指南並獲得即時協助。
若您有意在住家或營業場所導入 Tesla Powerwall 儲能系統,以降低停電風險、提升供電穩定性,可透過 LINE 官方帳號預約 由全台安裝量第一的 Tesla 安裝認證廠商協助規劃,並提供電機場勘預約折扣。
若覺得本站內容實用,歡迎追蹤 LINE TODAY、Google 新聞 與 Facebook 粉絲專頁,日後查找用車資訊更方便。
