Google 將移除中華電信憑證預設信任
Google Chrome 官方於 5 月 30 日發文指出,Chrome 瀏覽器將從 139 版本開始,將移除對中華電信和匈牙利憑證機構 Netlock,於 7 月 31 日後簽發新憑證的預設信任。
Google Chrome 安全團隊表示,過去一年觀察到這兩家憑證授權機構出現令人擔憂的行為模式,包括合規性失敗、未履行改善承諾,以及對公開披露事件報告缺乏實際且可衡量的進展,導致對其可靠性的信心下降。
這次調整將影響 Windows、macOS、ChromeOS、Android 和 Linux 平臺上的 Chrome 139 及後續版本,當用戶瀏覽使用受影響憑證的網站時,會看到像下圖一樣整頁的安全警告頁面:
圖源:GoogleGoogle 將移除中華電信憑證預設信任
不過 Google 也補充,7 月 31 日以前發行的中華電信憑證不會受到影響,企業用戶也可透過本地信任設定來覆寫這項限制。
臺灣網站管理者,怎麼檢查是否被影響?
如果網站管理者想知道自己的網頁會不會被影響,可以參考 Google 官方提供的教學步驟:
步驟 1:使用 Chrome 瀏覽器前往你的網站(例如:https://www.yourwebsite.com)
步驟 2:點擊網址列左側的「調整」圖示(Tune icon)
步驟 3:點擊「連線是安全的」(Connection is Secure)
步驟 4:點擊「憑證有效」(Certificate is Valid),此時 Chrome 憑證檢視器將會開啟
步驟 5:查看「發行者」(Issued By)標題下方的「組織」(Organization, O)欄位,會顯示兩種情況:
不需要採取行動:如果組織欄位不包含以下任何一項
“Chunghwa Telecom”
“行政院”
“NETLOCK Ltd.”
“NETLOCK Kft.”
需要採取行動:如果組織欄位包含上述任何一項,表示您的網站使用了會受到影響的憑證。
Google 建議,受影響的網站經營者應盡快轉換至其他受 Chrome 信任的憑證授權機構,必須在現有憑證到期前完成轉換(如果到期日在 2025 年 7 月 31 日之後),也建議避免在 8 月 1 日後繼續使用中華電信或 Netlock 的新憑證。
中華電信坦承程序調整未及時完成
Google 的公告雖早在 5 月 30 日就發布,但直到這兩天才被臺灣網友發現並拿出來討論,中華電信也緊急發聲明回應,坦承部分程序未能在 Chrome 新政策要求的時限內調整完成。
中華電信表示,雖然目前已完成調整且全數符合 Chrome 新政策要求,但 Google 仍決定先移除預設信任。中華電信強調,移除原因絕非因憑證存在漏洞或私鑰洩漏,將積極爭取 Chrome 的預設信任,預期在 2026 年 3 月完成復信程序。
所有在 7 月 31 日之前發行的憑證不會受到影響,而 7 月 31 日之後發行的憑證,受影響範圍僅限於 Chrome 瀏覽器,使用微軟、蘋果等其他瀏覽器則完全不受影響。中華電信,由於簽發的憑證完全合法合規,客戶在政府、金融、證券、數位簽章等應用時,皆維持正常使用。
數發部已提前因應,啟動雙憑證機制
科技媒體(iThome)指出,Chrome 在全球瀏覽器市場具有壓倒性優勢,全球市佔率近 65%,而在臺灣市場更是超過 70%,遠超其他競爭對手。
因此,這次 Google Chrome 移除中華電信憑證預設信任的決定,將對採用中華電信憑證的網站產生很大的影響。為協助網站管理者提前因應,Google 已在 Chrome 128 版本中加入測試功能,讓管理者可模擬新政策實施後的效果。
不過,臺灣數位發展部也早有對策,今年 3 月已掌握相關情資並提前準備因應措施。
數發部表示,從 3 月起就啟動政府網站雙憑證機制,採用符合公開信任根憑證標準的本地憑證機構所簽發的憑證,確保當特定憑證被瀏覽器移除預設信任時,仍可使用替代憑證運作,維持政府機關網站在各瀏覽器的正常瀏覽功能。
延伸閱讀:
ZK技術走向主流!Google Wallet採用零知識證明,打造你的數位ID
不靠輝達!Google、聯發科推動AI晶片創新,臺積電成關鍵夥伴?
『Google將移除中華電信憑證!發生什麼事?如何檢查是否被影響?』這篇文章最早發佈於『加密城市』