文/柯智昀(資安工作者)
2025 年 8 月 1 日起,Google 將不再預設信任中華電信與 NetLock 所簽發的TLS(Transport Layer Security)憑證。這項決定代表未來在 Chrome 瀏覽器上,所有使用這些憑證的網站,將遭標示為「不安全」。TLS 憑證負責驗證網站身分並加密資料傳輸,避免用戶在瀏覽網頁、提交表單或進行交易時的資訊遭到竊聽與竄改,是保障網際網路安全與信任的基礎之一。當主流瀏覽器取消信任某一憑證機構所簽發的憑證,其實質影響將波及公私部門眾多服務與網站,絕非單一技術爭議。
根據 Google 於 5 月 30 日公告的說明,撤除對中華電信憑證的預設信任,主因在於其多次合規失誤、未履行改善承諾,且缺乏具體進展,已不符公開信任機構(CA)的基本要求。中華電信在 6 月 2 日的首次聲明中,解釋其原因是「部分程序未能在 Chrome 新政策要求的時限內調整完成,雖日前中華電信已完成調整且全數符合 Chrome 新政策要求,遺憾的是,Google Chrome 仍決定先移除預設信任」。聲明內容既未具體回應 Google 撤除預設信任的理由,也未說明未來將採取哪些補救措施以重新獲取信任。如此態度顯然難以釋疑。在中華電信 6 月 3 日的二次聲明中,進一步提到「政府單位及企業客戶網站使用中華電信於 7 月 31 日之前簽發的 TLS 網站憑證,在該憑證有效期限內(自簽發日起算 365 日)均不會受到任何影響」,且「本公司也會主動聯繫提醒TLS 網站憑證效期將到期之客戶,免費提供 TLS 網站憑證更新,並協助必要之輔導或轉介其他憑證機構」。此說法暗含請客戶在 7 月 31 前儘快更新中華電信憑證的意味。然而,對照前述 Google 對中華電信未能達成公開信任機構的基本要求之說明,對於任何採用中華電信簽發憑證的營運單位而言,實難率爾認定其在 7 月 31 以前所簽發的憑證仍具備足夠安全性與信任基礎。
更值得關注的是主管機關數位發展部的作為。黃部長雖於 6 月 3 日受訪時強調,自今年初即掌握相關情資,並「超前部署」導入雙憑證備援機制、確保政府網站不受影響,但此作法僅限於公部門範疇,未對其他受影響的私部門網站提出整體性協調或說明。其所謂的「超前部署」,實則是狹義危機管理,未觸及整體憑證信任機制的制度性檢討。
尤有甚者,數發部更聲稱與中華僅為「委外契約關係」,不具督導責任。但數發部身為《電子簽章法》的主管機關,憑證機構若未依其作業基準提供服務,主管機關本就有責任要求改正,甚至處罰。數發部不僅是憑證服務的採購者,更是制度上應負責任的監理者。將自身職責限縮為契約關係,無異於規避應盡之責,削弱整體信任體系的穩定與治理正當性。這帶來更深層的結構性問題:中華電信作為國內最大電信業者與網際網路服務提供者(ISP),其所提供的不只是語音通訊,更是資料傳輸、域名系統(DNS)、機房代管、雲端服務等多元數位基礎設施。若從中華電信在國內網際網路的核心路由與國際連線節點角色來看,其地位幾乎等同於台灣網路的數位中樞。
如此關鍵的數位基礎設施提供者,竟然在出現信任危機時無主管機關表態負責,反映出台灣現行網路治理的破碎性分工。若依產業類別分由不同主管機關監理,當中華電信以單一法人身份同時營運電信、雲端與憑證服務,難道就可遊走於監理縫隙?這種切割治理的方式,已不適用於當今數位整合的環境,反而會造成責任歸屬不明與風險擴散的問題。
根據數發部官網,該部業務職掌涵蓋促進全國通訊、資訊、資通安全、網路與傳播等數位產業發展、統籌數位治理與數位基礎建設,並促進數位經濟發展及加速國家數位轉型。換言之,ISP 與憑證等數位基礎設施,理當為數發部責無旁貸的防守範圍。隨著全球數位化持續加深,ISP 與數位基礎設施的重要性與監理的必要也會持續提升。以歐盟 NIS2 指令為例,已明文將提供電子通訊網路與服務的業者納入關鍵實體監理範疇。我國若不趁此事件徹底反省,只會在下一次危機中重演。從中華電信憑證信任危機來看,數發部不能只是「公部門的數發部」,而應是「全國數位治理的中樞機構」。如果僅止於確保政府網站不跳出錯誤訊息、僅將公共憑證視為標案委外,就無法肩負起國家數位安全的制度性建設任務。在數位信任與基礎設施成為國家主權延伸的重要時代,部會角色的再定位與治理架構的重整,刻不容緩。
本文僅代表作者立場,不代表本平台立場
Facebook Comments 文章留言