Google 今年 6 月初宣布,自 2025 年 8 月 1 日起,Chrome 瀏覽器將停止信任中華電信在該日期之後新簽發的傳輸層安全通訊協定(TLS)憑證,引發國內資安與網路服務業界高度關注。Google 當時回應指出,此舉是「為了保護 Chrome 使用者安全,取消對中華電信新核發憑證的預設信任作為」,並非針對單一事件,而是基於整體憑證治理與合規評估結果。
對此,中華電信當時強調,相關狀況並非因憑證本身存在漏洞、私鑰外洩,亦不涉及實際資安或網路安全事件,但對於對社會大眾與客戶所造成的不便,表達歉意。中華電信董事長簡志誠隨後也對外說明,Google 之所以做出取消信任的決定,主因在於過去一年間,中華電信未能即時回應 Google 所屬憑證討論社群在技術規範與流程更新上的要求。儘管相關配合已於今年初完成,但因歷史不合規紀錄已被揭露於 Mozilla 公開技術論壇 Bugzilla,導致外界與瀏覽器業者對其治理紀錄已有既定觀感,最終 Google 仍決定自 8 月起停止預設信任。
在 Google 宣布政策後,中華電信自 8 月 1 日起全面暫停簽發新的 TLS 憑證,並於 7 月底前完成協助既有客戶更新或轉換憑證,確保網站與服務營運不中斷。同時,該公司啟動根本性改革,針對旗下根憑證管理中心(CHT TrustRoot CA)進行組織、流程與治理結構的全面盤點與調整。
而在 2025 年的最後一天,中華電正式對外宣布,該公司已完成憑證治理轉型升級,並通過國際第三方獨立稽核認證,正式向 Google 申請加入 Chrome 根憑證預設信任清單。據中華電說法,其憑證管理中心歷經為期約半年的系統性重整,涵蓋組織效能、管理流程、合規能力與治理機制,並已順利通過 WebTrust for Certification Authorities(WebTrust for CA)第三方稽核,相關稽核報告亦已獲瀏覽器業者認可,並於 12 月 29 日完成向 Google 提交申請 。
在制度與技術層面,中華電信表示,已導入多項自動化與多重驗證機制,包括 PKIlint、zlint 等憑證驗證工具,以及多面向憑證審查工具(Multi Perspective Issuance Corroboration),以提升憑證簽發與管理流程的正確性與一致性。此外,也同步強化大規模憑證撤銷與更換的應變能力,制定完整作業程序並完成多次實地演練,確保在極端情境下仍能維持服務穩定。
除了合規與治理調整,中華電信也指出,已主動推動憑證服務的前瞻技術升級,包括對外服務網站導入後量子加密(Post-Quantum Cryptography, PQC)防護機制,並透過 ACME(Automatic Certificate Management Environment)協定,推動網站憑證生命週期的自動化管理,以提升整體服務效率與使用體驗 。
不過,申請加入 Chrome 預設信任清單仍需經過 Google 既定的審查流程與社群討論機制,並非提交後即自動恢復信任資格。是否、以及何時能重新取得 Chrome 預設信任,仍有待 Google 與相關社群進一步評估。中華電信則表示,未來將持續以「國際合規、技術領先、服務至上」為原則,強化治理體質,打造可信賴的數位憑證服務環境。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
