2025年5月30日,Google 宣布將從 8月1日 起,全面撤銷對中華電信所簽發 TLS 憑證的預設信任。這項決策震撼資安圈,也對台灣的網站生態帶來實質衝擊:凡使用中華電信新憑證的網站,若未及時更換,屆時在 Chrome 上將顯示「連線不安全」的警告畫面,嚴重影響使用者信任與網站正常運作。
中華電信向來是政府與大型機構倚賴的憑證發行者,為何會被 Google 撤信?本文將帶你釐清背景、影響範圍與事件核心問題。
TLS 憑證是什麼?為什麼重要?
瀏覽器若無法信任憑證,使用者在造訪網站時會看到「你的連線不是私人連線」的警告,甚至無法正常進入網站,對電子商務、會員登入、金流服務等會帶來極大影響。
為何 Google 要撤銷中華電信的信任?
此次事件並非因中華電信憑證遭駭或私鑰外洩,而是來自於 憑證管理機制的系統性問題,Google 和 Mozilla 都已提出具體質疑,歸納為三大關鍵:
1. 欄位設定錯誤(EKU 標示失誤)
中華電信在 2023 年 9 月至 2024 年 3 月間,簽發了逾 6,000 張不合規憑證。原因是憑證內的「Extended Key Usage」欄位錯誤標示為「critical」,違反憑證產業標準。
更嚴重的是,這個錯誤並非內部主動發現,而是外部社群通報後才緊急處理,且撤銷作業拖至 2024 年 5 月才完成。
2. 年度稽核報告延誤,流程鬆散
中華電信 2023 年度的自評報告,經多次催繳仍未準時提交。甚至一度誤上傳 2024 年版報告,並詢問能否補繳替代,顯示其內部流程混亂,缺乏制度化管理與交接機制。
3. 對外回應消極,缺乏改進承諾
即便面對全球瀏覽器信任機制撤銷的重大危機,中華電信的公開聲明仍以「表達遺憾」作結,未提出具體改善計畫與時程,讓外界對其信任機構角色產生進一步懷疑。
哪些網站會受到影響?
受影響者主要為自 2025 年 8 月 1 日起,仍使用中華電信新簽發憑證的網站。在 Chrome 139(含)以上版本下,這些網站將無法建立加密連線,用戶會直接被警告頁擋下。
常見受影響族群:
- 使用中華電信簽發之企業網站
- 尚未更換憑證的政府機關
- 金融、電商、登入系統等需保障安全傳輸的網站
相對地,若網站改用國際主流憑證機構(如 Let’s Encrypt、DigiCert 等)所簽發的憑證,則不會受到此次事件影響。
中華電信與政府的後續措施
中華電信聲明:
- 將於 8 月 1 日起停止簽發 TLS 憑證。
- 7 月 31 日前簽發、且仍有效的憑證可繼續使用至到期。
- 將主動通知客戶並提供免費替換或協助轉介其他憑證機構。
數位發展部聲明:
- 自 2025 年 3 月起,政府網站已啟用「雙憑證機制」,採用其他國內受信憑證機構,確保網站服務不中斷。
- 民眾瀏覽政府網站不會受到此次事件影響。
