【一文看懂】為何憑證事件引起軒然大波？　簡志誠親上火線說分明

Google Chrome 近日指出，對中華電信在今年7月31日後簽發的新憑證，將移除預設信任。憑證事件持續延燒，部分輿論直指將對資安甚至國安造成影響。對此，中華電信董事長簡志誠今日（6/17）親上火線，一一說清楚講明白。

Q：甚麼是TLS網站憑證？

TLS 全名是Transport Layer Security網站憑證，也常被稱為SSL (Secure Sockets Layer Certificate）憑證，是由憑證授權機構（Certificate Authority, CA）簽發給網站的「數位身分證」，主要用於Internet網際網路上的身份驗證。

簡志誠舉例，就像成立一家公司要去申請工商登記一樣，成立一個網站也需要申請身分證，代表它是合法網站。因此，「憑證」代表該網站的身分證，跟資安沒有關係，當然也不會有國安議題。

Q：誰負責發放網站憑證？

全世界有數億個網站，而網站的身分證由瀏覽器業者來發。簡志誠說，Google Chrome在全世界找了67家認證機構幫忙發放憑證，需要申請憑證的網站就跟被授權機構申請，申請審核通過就可發放憑證。民眾如果進入沒有憑證的網站，瀏覽器就會跳出警示視窗，表示目前正瀏覽不安全的網站。而台灣有2家憑證發放機構即中華電信和台灣網路認證公司（簡稱台網）。

Q：網站取得TLS憑證後，是否永久有效？

TLS 憑證非永久有效，為了確保網站的安全性，CA憑證授權機構簽發TLS憑證時，即須標註有效期限，大多效期為數月至一年間，網站業主需定期更新TLS網站憑證，才能確保網站持續安全。

Q：此次事件起源為何？

Google Chrome 於今年5月30日夜間宣布，因中華電信與Netlock兩家CA憑證授權單位未能在期限內完成必要合規措施(如5日內撤銷及更換憑證等)，導致信任度下降，因此，自Chrome 139版起，將移除預設信任中華電信及Netlock於2025年7月31日後簽發的TLS網站新憑證。

換言之，如果網站使用中華電信在2025年8月1日之後（含8月1日）發出的TLS憑證，民眾使用Chrome瀏覽該網站時，可能會跳出「不安全網站」的警示畫面。

Q：這件事為什麼會發生？

簡志誠說，中華電信憑證團隊對於新生效的憑證基準規範（BR）未即時掌握與落實。Google Chrome 會不斷更新憑證基準規範，CA憑證授權業者需在新的規範生效後立即依循落實，但憑證團隊沒有即時掌握並且落實。

舉例來說：2023年9月15日生效的BR，修訂延伸用途欄位EKU的標註內容，但團隊沒有即時掌握和執行，導致中華電信簽發的部分憑證格式不符規定，另外的疏失也包含機關代號和地址欄位的編碼不符合規範要求。

其次，憑證團隊未能依照「信任根憑證計畫」運作規則確實執行。Google Chrome並非不允許有任何不符規事項，也設置其Bugzilla論壇，讓所有人都可以透過公開的技術平台來追蹤問題、回應問題和進行討論，但也有相對應的規則，來要求CA業者遇到不符規事項或論壇詢問時的處理方式/時限，而中華電信憑證團隊沒有確實依照規則和要求去執行，歸納背後原因的重點是團隊遇到執行有窒礙難行時，沒有即時向上通報、以快速的尋求解決。

依照規定，當Bugzilla論壇有詢問時，CA業者需於72小時內回應，但由於依照中華電信和使用憑證客戶的合約，中華電信需經過客戶的審查才能回應論壇提問，所以有幾件無法在72小時內完成回應，也造成論壇輿論不滿，認為中華電信反應過慢。此外，依照規定，CA業者應定期提交合規文件，但由於團隊成員更替、未完整交接，導致承接的團隊成員未在規定時限內提交自評報告。

簡志誠說，去年幾項不合規事項發生後，督導憑證團隊的主管接獲通報，中華電信隨即率隊積極與Google溝通並提出改善計畫，Google團隊雖肯定中華電信的改善計畫，但表達需優先採取保護Chrome使用者安全的應對措施，因此取消對中華電信新核發憑證的預設信任，也同時向中華電信說明可重新申請加入，雙方並持續溝通探討能確保使用者安全的解決方案。

Q：一般民眾怎麼知道網站是否有TLS網站憑證呢？

當你看到瀏覽器網址列出現 🔒 鎖頭符號，即代表該網站有有效的TLS網站憑證，資料傳輸是加密的，不容易被竊聽或偽造。

Q：TLS網站憑證出問題，是否會影響工商憑證、自然人憑證等其他憑證的使用？

TLS網站憑證是給網站用的，工商憑證則是給企業用的、自然人憑證是給自然人用的，用來驗證企業和民眾的數位身分證明，讓企業和民眾能在網路上使用政府提供的各種服務；也就是說，TLS網站憑證和工商憑證、自然人憑證等其他種類並不相同，彼此不會互相影響。
 
Q：對一般民眾的影響？

首先，民眾日常使用的政府網站、銀行網站、學校系統等，如上所述，因網站TLS憑證仍在效期內或已提前更新憑證，故民眾使用Chrome瀏覽這些網站時，和過往相同，不會出現任何警示或錯誤訊息。

其次，因中華電信從8月1日起暫停簽發TLS網站憑證，故也不會有民眾因為瀏覽到Chrome停止預設信任中華電信新簽發憑證的網站，而出現警示畫面。
 
Q：中華電信有甚麼具體改善作為？

1. 停止簽發新憑證：自 2025 年 8 月 1 日起，全面暫停簽發新 TLS 憑證，避免影響使用者與網站信任。

2. 全面協助憑證換發：協助政府與企業客戶提前完成憑證換發，截至6月13 日，政府機關使用中華電信TLS憑證的網站中，已有超過95.4%完成憑證更新或轉換為雙憑證，預計7月底前全數完成。

3. 重整CA團隊組織架構：整合政府網站與商用網站團隊，統一技術標準與合規流程，提升整體管理效能。

4. 成立專責改善團隊：集結最優秀人才，成立跨部門專案小組，導入敏捷管理工具，每週追蹤改善進度。

5. 強化事件應變機制：建立事件應變SOP：4小時內召開會議、72小時內提交報告、1個月內結案。

6. 建立合規監控制度：每季召開法規監控會議，從文件到系統進行端對端追蹤，確保政策落實 。

7. 導入自動化檢查工具：增加檢測工具，建立雙層憑證格式審查機制，減少人工疏漏。

8. 規劃重新申請Google信任：預計隨即啟動新根憑證申請，目標2026年3月重返 Chrome 預設信任清單，持續為台灣提供可信憑證服務。