今天看到一則新聞引起了不少人的關注 —— 從2025年8月1日起,Chrome 將不再信任中華電信所簽發的 TLS 憑證。這代表什麼?背後有什麼樣的技術警訊?讓我們一起解構這個看似艱澀,實則與所有人日常網路安全息息相關的議題。
🐻這次事件到底發生了什麼?
2024 年 6 月,Google 宣布將從 2025 年 8 月 1 日起,停止信任中華電信(HiPKI)與匈牙利 NetLock 所簽發的 TLS 憑證。換句話說:
- 如果一個政府網站或企業網站使用這些憑證,
- 使用者透過 Chrome 瀏覽將看到「不安全」警告訊息,
- 即便憑證還在有效期內,也無法被視為受信任的身份。
這是 Google 史上首次針對台灣本土憑證機構祭出信任撤銷的決策,消息一出,不只技術社群震撼,許多使用中華電信憑證的公私部門網站也急忙展開應變。
🐻什麼是 TLS 憑證?它為什麼重要?
當你看到網址開頭是 https://,代表這個網站使用了 TLS(傳輸層安全)協議,能夠加密瀏覽器與伺服器間的傳輸資料。
但光有加密不夠,使用者也需要「相信」這個網站的身份是真的。這就是憑證的角色:
- TLS 憑證是由憑證機構(CA)簽發,
- 憑證中包含網站名稱、到期日、加密金鑰與簽章,
- 使用者的瀏覽器會檢查:這個憑證是否來自「我信任的憑證根(Root CA)?」
舉個例子:
當你打開 https://www.gov.tw 時,瀏覽器會這樣檢查:
- 這個網站的憑證是誰簽的?→ 中華電信 HiPKI
- 我信不信中華電信?→ 看我有沒有內建 HiPKI 根憑證
- 如果信任,就建立 TLS 加密連線,讓你安心輸入身份證、密碼。
🐻Google 為什麼不再信任中華電信?
Google 並不是根據單一技術漏洞就「撤信」,而是根據憑證機構的整體營運表現與信任紀錄進行評估。
以下是 Google 公開說明的幾個理由:
- 中華電信過去多次未妥善處理憑證發行或撤銷問題。
- 缺乏透明的事件通報與公開稽核(例如沒有在 Mozilla CCADB 記錄問題說明)。
- 無法充分配合 Google Root Program 的政策與流程要求。
這些問題會讓憑證持有者(網站)無法即時知曉錯誤,也讓使用者無法及時得知是否安全,長期累積導致信任下滑。
小提醒:TLS 信任不是技術問題,而是制度信任問題。就像出國用信用卡時,你不只在乎晶片功能,還在乎這家銀行會不會亂扣錢、不理你申訴。
🐻技術上會發生什麼狀況?
當 Google 移除 HiPKI 根憑證後,將會出現以下狀況:
- 瀏覽器報錯Chrome:對使用 HiPKI 憑證的網站顯示「連線不安全」
- 自動更新無效:即使更新憑證內容,信任鏈仍斷裂
- 用戶信任下滑:使用者對網站產生疑慮,造成信任危機
- 政府服務受影響:公家網站常使用 HiPKI,將需要全面更換憑證
🐻開發者與網站管理員該怎麼辦?
若你所負責的網站或內部系統使用的是中華電信憑證(HiPKI),請務必儘早處理,因為到 2025 年 8 月 1 日之後,這些憑證將不再被 Chrome 信任,使用者可能無法正常瀏覽網站。
如何檢查你是否使用 HiPKI 憑證?
方法一:使用瀏覽器檢查(以 Chrome 為例)
- 開啟你的網站,例如
https://vocus.cc/ - 點選網址列左側的「查看網站資訊」後點擊「已建立安全連線」。
- 點選「憑證有效」
- 查看「發行者組織」
以上範例表示目前 vocus.cc使用的是 Let's Encrypt 所簽發的憑證,屬於受 Google 與各大瀏覽器信任的公開憑證機構,完全不受中華電信 HiPKI 撤信事件影響。
方法二:使用線上工具查詢憑證發行者
也可以用線上工具快速查詢憑證發行資訊:
- SSL Labs – SSL Test
輸入網址後會分析憑證簽發者、有效期與 TLS 設定品質 。 - Why No Padlock?
可協助找出 HTTPS 憑證或混合內容問題,簡易明瞭。 - crt.sh
查詢網站曾使用過的公開憑證紀錄(進階用)。
以 SSL Labs 為例,查詢數位發展部網站 moda.gov.tw
在結果頁中尋找 Issuer 欄位若看到:Chunghwa Telecom Co., Ltd. 則表示該網站使用的是中華電信憑證,建議更換。
應對策略與替代方案
一旦確認網站或系統使用 HiPKI 憑證,建議立即採取以下步驟:
- 全面盤點
檢查外部網站、內部 API、VPN、郵件伺服器等是否也使用相同憑證來源。 - 更換可信 CA
選擇可信賴的國際憑證機構,如: - 免費選項:Let's Encrypt(支援自動更新)
- 商用選項:DigiCert、Sectigo、GlobalSign 等
- 建置憑證自動化流程
使用工具如certbot(Let's Encrypt)、acme.sh等,每 60~90 天自動更新憑證,減少人工疏漏風險。 - 更新 TLS 設定與測試部署
測試憑證更換是否造成應用程式錯誤,尤其注意 API 調用與嵌入 iframe 的跨站安全設定。 - 啟用 HTTPS 憑證監控
建議使用 SSL Labs、Pingdom、UptimeRobot 等服務追蹤憑證過期與信任狀態。
小提醒:若你維運多個子域名(例如 gov.example.com, api.example.com),考慮改用通配符憑證(Wildcard Certificate)搭配自動更新。
🐻中華電信回應與補救行動
在 Google 宣布將於 2025 年 8 月起停止信任中華電信所簽發的 TLS 憑證後,事件引發社會關注與企業用戶不安。雖然中華電信強調此次撤信「並非因憑證技術漏洞或私鑰洩漏」,但 Google 明言是「誠信缺失」(lack of integrity)導致移除,反映雙方對憑證信任的理解出現了落差。
中華電信於後續聲明中表示:
- 撤信原因是未能於期限內完成 Chrome 新政策的技術要求調整,非憑證技術面問題。
- 公司深表歉意,承諾從 2025 年 8 月 1 日起暫停 TLS 憑證簽發服務。
- 針對 7 月 31 日前簽發、仍在有效期內的憑證,仍會維持運作與支援。
- 對於即將屆期的客戶,將主動聯繫、免費更新,並提供轉介其他 CA 的輔導協助。
值得注意的是,一般用戶常見的「自然人憑證」「政府憑證」「工商憑證」等並非 TLS 網站憑證,不受此次事件影響,可繼續用於報稅、登入政府平台等用途。
🐻反思:信任從來不是永遠的
這次事件提醒我們幾件重要的事:
憑證技術不難,難的是信任的維護與治理。
許多開發者在建構 HTTPS 或 API 時,只把 TLS 憑證當作「加密器材」,卻忽略了它背後是由「一整套信任制度」支撐起來的,包括:
- 憑證機構的透明度與治理能力、
- 國際信任計畫的政策(如 Mozilla Root Program、Google Chrome Root Store)、
- 吊銷與通報機制(CRL、OCSP)是否健全、
- 使用者對錯誤訊息的感受與判斷能力。
當其中一個環節出現長期疏漏,就可能造成全面撤信的結果。
信任,不只是系統設定,更是一種責任文化。
這次 Google 對中華電信憑證的撤信,不是突如其來的「國外打壓」,而是一次制度與信任機制的警鐘。作為 IT 人,我們應從以下幾點自我警惕:
- 不要只相信預設設定,信任鏈要能驗證
- 選擇 CA 時看的是整體風險控管與政策透明
- 建立自動化與可監控的憑證管理流程
對使用者來說,只要及時更換可信任的 CA 憑證,影響可降到最低;而對維運人員與資訊長而言,這是一次深刻的提醒:信任體系,應該被視為數位治理的一環,而不僅是技術選項。
