台灣電信龍頭中華電信被Google點名,將從2025年7月31日起取消對中華電信所簽發憑證的預設信任,由中華電信所發的憑證也都會被一併被取消,
被立委葛如鈞砲轟是「核彈級數位信任危機」。3C達人廖阿輝也重炮回應「國際級的丟臉程度」,他認為,中華電信長達1年半的時間被Google要求改善,卻直到被Google公告踢出後才要爭取改善,動作真的慢半拍。未來 Chrome 瀏覽器的使用者在造訪使用中華電信憑證的網站時,可能會出現「網頁打不開」或需要每次手動跳過「不安全的網站」提示。
我是廣告 請繼續往下閱讀
▲網站沒有安全憑證,民眾進到該網站時會跳出警告。(圖/官方提供)
在了解中華電信被Google取消TLS憑證之前,先來了解TLS、CA是什麼:
🟡TLS憑證是什麼?
TLS(傳輸層安全性,Transport Layer Security)是一種廣泛使用的加密通訊協定,再早一點稱之為 SSL(安全通訊端層,Secure Sockets Layer),白話來說就是讓你的電腦和網站之間,會有一套安全的加密通道,把你要傳的資料包起來,變成一堆亂碼,只有網站才能解開。TLS和 SSL用意都在確保網路上的安全機制。
🟡CA是什麼:
CA(Certificate Authority,簡稱 CA)憑證授權機構,是網路世界發「身份證」的機構,負責發放、管理、撤銷憑證。Chrome、Safari等瀏覽器都預設一份「信任清單」,當瀏覽器收到該CA發出的憑證就會被認為是可以信任的網站。中華電信就是是CA的角色,先幫作業系統或是瀏覽器針對申請的網站進行安全確認,並保證資料安全與加密。
▲大多數網站會出現安全認證,同時也會顯示核發的單位和日期。(圖/翻攝官網)
🟡中華電信被Google取消預設信任憑證是什麼意思?
當瀏覽網站時,瀏覽器會檢查網站憑證是否能追溯到這些預設信任的根憑證,形成「信任鏈」。如果信任鏈完整且有效,瀏覽器就會判斷網站安全可信。若憑證授權機構未能遵守安全規範或出現問題,使用者造訪相關網站時會收到安全警告。以中華電信的事件為例,中華電信這間CA被Google取消預設信任憑證,整條信任鏈就會受到影響,由中華電信發出的憑證會在過期之後,於Chrome瀏覽器跳出「不安全」、「您的連線不是私人連線」或類似的警告訊息,甚至直接被退出該網站。
我是廣告 請繼續往下閱讀
🟡對於民眾可能會有哪些影響?
雖然可能網站本質上是沒有問題的,但在全球最大的瀏覽器上出現「不安全」的網站警告對用戶來說會出現安全性的質疑
。廖阿輝表示,在詐騙的識別上,往往會希望民眾可以到政府官網進行確認,但中華電信發出的憑證包含了不少政府單位網站,如果沒有在期限內盡快的轉移憑證到Google認可的CA,難保民眾進到政府官網時會出現「不安全」的紅色網站警告,可能會造成民眾在資訊上的混淆,導致誤解,尤其是涉及敏感資訊或交易時,可能會降低民眾信任度。長輩及網路詐騙高風險族群可能因此而更易陷入詐騙風險。
廖阿輝認為政府網站若無法及時處理憑證更換,將是一大諷刺且危及數位信任的嚴重問題。