發佈日期:2025-06-06
發生時間:
Google 宣布自 2025 年 8 月 1 日起,Chrome 139 版停止預設信任中華電信 (ePKI 與 HiPKI) 新簽發的 TLS 憑證
影響範圍:
Chrome 使用者在 8 月後使用中華電信簽發新證的網站會看到安全警告。舊證(在 7/31 前簽發且有效)暫時不受影響
中華電信回應:
宣布暫停 8 月起簽證。
主動通知客戶,提供免費換證服務,並協助轉介其它憑證機構
強調沒有資安漏洞,是「程序合規性」問題
造成事件五大原因:
1.憑證擴充欄位問題與內部管理失衡
中華電信「ePKI 商用憑證」本身沒問題,但其協助政府維運的GTLSCA卻出問題,關鍵在於GTLSCA憑證中的「擴充欄位(extension field)」設定錯誤。這項錯誤被認為,反映了中華電信內部管理結構的問題。
2.未依社群公約處理與誠信破產
憑證發行機構(CA)必須遵守由主要瀏覽器供應商組成的社群合規規範(BRs),如 CA/Browser Forum(CABF)所制定的「社群公約」,特別是要求憑證問題必須在「五天」內完成廢止。
然而,中華電信在處理憑證問題時,卻屢次未能遵循此一時間規定,甚至用了一些「誇張的理由」來拖延,例如:中華電信還曾提出「用於塔臺」的理由,事後被揭穿與憑證使用的規定不符,才坦承是用於航班網站。
3.處理大規模憑證廢止作業時,違反憑證授權機制
政府伺服器數位憑證管理中心(GTLSCA)的問題並非單一事件,而是「多次」發生所導致的綜合性因素,過往曾有兩三波大規模的憑證廢止,每次都涉及「幾千張」憑證。
但是,中華電信在處理大規模憑證廢止作業時,又不斷產生新的問題,那就是違反憑證授權機構授權(CAA)紀錄爭議。CAA紀錄是一個:某網站可以告訴全世界,只有特定的CA才能為其簽發憑證,這樣的作法,可以防止惡意CA偽造憑證,確保網站的安全性。
4.OID設定爭議與國格敏感性問題
OID爭議與國格敏感性問題。憑證問題中曾提及的「OID(Object Identifier)」設定錯誤,就是一個兼具複雜的技術與政治敏感議題。
5.組織與人員異動影響
是中華電信內部「組織與人員異動」可能與此次問題的發生有關。公司內部不同部門(如商用與政府業務)之間溝通不良是一大問題,導致「商用沒問題,政府有問題」的弔詭情況。甚至於,在Google撤信事件發生後,中華電信內部是「救火」還是「提油救火」,其面對事情的態度受到質疑。
