▲中華電信憑證遭Google拔除信任!政府機關恐陷危機 Google呼籲:儘速更換信任的CA(圖/翻攝自免費圖庫)
【賴傳媒 王俊勝/綜合報導】Google 近日在官方部落格宣布,將從 8月1日 起,在最新版 Chrome(139版以上)停止預設信任中華電信與匈牙利Netlock憑證機構簽發的TLS憑證。這項變動將直接衝擊眾多依賴中華電信 ePKI 系統的台灣網站,包括政府、學校與企業內部系統在內。若不提前更換憑證,屆時使用 Chrome 的用戶打開網站時,可能會看到警告畫面,導致信任危機與使用障礙。
Google 表示,這次撤信的主因,是因為在過去一段時間內,中華電信與Netlock出現多起合規性問題,改善承諾未見具體成果,難以繼續被視為可靠的公開信任憑證機構。為了保護使用者安全,Chrome 團隊決定採取行動,不再信任這兩家CA在7月31日午夜之後簽發的新憑證。
據了解,凡是從 2025 年 8 月起簽發、並鏈結至「中華電信」或「行政院」機構根憑證的網站憑證,都將無法在Chrome上正常顯示,使用者會看到一整頁的警告畫面,顯示網站憑證不受信任。這項政策適用於 Windows、macOS、Linux、ChromeOS 及 Android 等平台,但不影響 iOS 系統(因Apple仍使用自家憑證驗證機制)。
受影響的中華電信憑證包括:
-
OU=ePKI Root Certification Authority,O=Chunghwa Telecom Co., Ltd.,C=TW
-
CN=HiPKI Root CA - G1,O=Chunghwa Telecom Co., Ltd.,C=TW
-
CN=NetLock Arany (Class Gold) Főtanúsítvány,OU=Tanúsítványkiadók (Certification Services),O=NetLock Kft.,L=Budapest,C=HU
Google 強調,舊有憑證(在7月31日前簽發)不受影響,使用者仍可正常瀏覽。但網站經營者若在這日期之後更新或重新簽發憑證,將面臨信任問題,建議儘速轉換至其他被Chrome信任的CA,例如Let’s Encrypt、DigiCert等。
目前 Chrome 也提供企業用戶測試機制,只要使用特定指令即可模擬「憑證不再信任」的情境,讓IT單位能提前評估內部網站的影響範圍。
對於仍使用中華電信憑證的台灣企業與政府單位而言,這次事件不僅是安全提醒,也代表國內CA信任機制在國際標準下仍有落差,若未能落實持續改善與回應國際檢視,將可能被全球主流瀏覽器排除於信任鏈之外。
Chrome 團隊也提醒,只要網站憑證是由中華電信或Netlock發出,都可透過 Chrome 檢視器查詢。只要「Issued By」欄位中含有「Chunghwa Telecom」、「行政院」或「NETLOCK」,就表示屬於本次政策變更影響範圍,務必儘快進行更換作業。
