事件原因
1.技術不合規操作
中華電信(CHT)旗下的政府TLS憑證中心(GTLSCA)在憑證「Extended Key Usage(EKU)」欄位設定錯誤,違反國際CA/B Forum規範,將應標記為「非重大關鍵(non-critical)」的欄位錯誤標示為「重大關鍵(critical)」。
2.憑證延遲撤銷
發現問題後,未能在規定的5天內撤銷違規憑證,導致6450份不合規憑證流通,且處理進度緩慢,直到外界關注才加速撤銷。
3.管理與通報缺失
包含年度自評報告遲交、資訊透明度不足、處理過程不公開,需外界多次催促才說明進度。
4.行政流程繁瑣
受影響的多為政府機關與中小企業,缺乏IT能力且更換憑證需經多層公文核定,導致撤銷進度嚴重延誤。
事件影響
1.Google與Mozilla撤銷信任
Google宣布自2025年8月1日起,Chrome瀏覽器將停止信任中華電信新簽發的TLS憑證,Mozilla也採取類似措施。
2.國內外信任危機
事件被稱為「數位信任大爆炸」,動搖台灣數位基礎建設的國際信任,暴露治理結構脆弱。
3.用戶體驗受影響
若不及時更換憑證,民眾在瀏覽政府、銀行、電子支付等網站時,瀏覽器會跳出警示甚至封鎖,影響數位生活與經濟秩序。
4.政府、企業與民眾疑慮
雖然中華電信強調現有憑證(7月31日前簽發)在效期內不受影響,但未來新憑證受限,需盡快轉換憑證來源。
解決方案與應對措施
1.暫停簽發新TLS憑證
中華電信自8月1日起暫停簽發TLS網站憑證,並主動聯繫到期客戶,免費協助更新或轉介其他憑證機構。
2.政府啟動雙憑證機制
數位發展部自2024年3月起,政府網站已啟動「雙憑證機制」,同時採用其他台灣本土憑證機構簽發的憑證,確保網站安全運作不受影響。
3.強化管理與溝通
中華電信承諾未來將明確把國際規範納入用戶合約,提升內部管理與通報效率,避免類似事件重演。
4.爭取恢復信任
中華電信表示,將持續與Google等國際平台溝通,預計於2026年3月前完成改善,爭取Chrome重新信任。
簡單比喻與現實例子
想像你家門鎖(網站憑證)本來有國際認證,現在因為鎖匠(中華電信)在鑰匙上刻錯字,導致國際保全公司(Google、Mozilla)不再信任這把鎖。雖然家裡舊鎖還能用一陣子,但新鎖就得找別的鎖匠來配。政府則早一步準備好備用鎖,確保大家出入安全不受影響。
行動建議
網站管理者:若憑證由中華電信簽發,請主動聯繫中華電信或尋求其他憑證機構協助更換。
一般民眾:短期內瀏覽政府和金融網站不受影響,若遇到瀏覽器警示,請留意官方公告。
企業與IT人員:檢查自家網站憑證來源,提前規劃憑證替換時程,避免服務中斷。
沒有留言:
張貼留言