資安

公報

中華電信憑證失效，連自家網站的憑證都要跟別人買

因應

對策

發生時間：

Google 宣布自 2025 年 8 月 1 日起，Chrome 139 版停止預設信任中華電信 (ePKI 與 HiPKI) 新簽發的 TLS 憑證

影響範圍：

Chrome 使用者在 8 月後使用中華電信簽發新證的網站會看到安全警告。舊證（在 7/31 前簽發且有效）暫時不受影響

中華電信回應：

宣布暫停 8 月起簽證。

主動通知客戶，提供免費換證服務，並協助轉介其它憑證機構

強調沒有資安漏洞，是「程序合規性」問題

造成事件五大原因：

1.憑證擴充欄位問題與內部管理失衡

中華電信「ePKI 商用憑證」本身沒問題，但其協助政府維運的GTLSCA卻出問題，關鍵在於GTLSCA憑證中的「擴充欄位（extension field）」設定錯誤。這項錯誤被認為，反映了中華電信內部管理結構的問題。

2.未依社群公約處理與誠信破產

憑證發行機構（CA）必須遵守由主要瀏覽器供應商組成的社群合規規範（BRs），如 CA/Browser Forum（CABF）所制定的「社群公約」，特別是要求憑證問題必須在「五天」內完成廢止。

然而，中華電信在處理憑證問題時，卻屢次未能遵循此一時間規定，甚至用了一些「誇張的理由」來拖延，例如：中華電信還曾提出「用於塔臺」的理由，事後被揭穿與憑證使用的規定不符，才坦承是用於航班網站。

3.處理大規模憑證廢止作業時，違反憑證授權機制

政府伺服器數位憑證管理中心（GTLSCA）的問題並非單一事件，而是「多次」發生所導致的綜合性因素，過往曾有兩三波大規模的憑證廢止，每次都涉及「幾千張」憑證。

但是，中華電信在處理大規模憑證廢止作業時，又不斷產生新的問題，那就是違反憑證授權機構授權（CAA）紀錄爭議。CAA紀錄是一個：某網站可以告訴全世界，只有特定的CA才能為其簽發憑證，這樣的作法，可以防止惡意CA偽造憑證，確保網站的安全性。

4.OID設定爭議與國格敏感性問題

OID爭議與國格敏感性問題。憑證問題中曾提及的「OID（Object Identifier）」設定錯誤，就是一個兼具複雜的技術與政治敏感議題。

5.組織與人員異動影響

是中華電信內部「組織與人員異動」可能與此次問題的發生有關。公司內部不同部門（如商用與政府業務）之間溝通不良是一大問題，導致「商用沒問題，政府有問題」的弔詭情況。甚至於，在Google撤信事件發生後，中華電信內部是「救火」還是「提油救火」，其面對事情的態度受到質疑。

資料來源：iThome