☰

谷歌撤銷信任中華電信憑證危機未解！8月資安破口倒數數發部責無旁貸

今週刊攝影組

撰文‧陳子萱

谷歌宣佈8月起不再信任中華電信核發的憑證，逾萬個公私部門網站將受影響。但數發部卻強調只能管理「政府」網站，且依職權難以針對事件啓動調查，真是如此嗎？

一場看不見的數位風暴，即將於8月1日登陸臺灣。身處風暴中心的主管機關數發部，卻未正視問題。

谷歌（Google）今年五月底宣佈，自8月起，其Chrome瀏覽器將不再信任中華電信所簽發的TLS網站憑證，國內約有一萬個網站將受影響，許多網頁可能淪爲資安破口。

「網站憑證」的功能，是被用來確保網頁的「身分正確」與「資料安全」。當你點進一個網站，伺服器會提供一個密件信封，讓你把指令封裝、寄出；隨後伺服器也以相同方式回傳資料，才能開始瀏覽網頁內容。

網站憑證就是那個「密件信封」，因爲寫上正確收件地址，且信件加密封條，內容不會被偷看或竄改；一旦沒有憑證，就像寄出一張「明信片」，資訊不只暴露於衆，還可能被路人篡改內容及地址。

因此，點進一個「沒有憑證」的網站，使用者等於公開所有的個資、足跡，容易被駭客攔截或僞造資料，甚至讓你誤入僞冒的網站。

數發部「做半套」監管消極

只顧政府網站民間風險未解

谷歌在全世界找了67家機構提供憑證，其中包括臺灣的中華電信和臺灣網路認證公司（TWCA）。這次出包的中華電信，在國內核發憑證網站約1萬多個，其中政府機關佔約8千個、民間企業佔約2千個。

面對這場不信任風暴，主管網路資訊的數發部強調，針對政府委託中華電信申購的網站憑證，早在3月就啓動「雙憑證機制」，協助政府機關將憑證轉換到臺網公司，目前已超過9成完成更新；至於2千多個民間網站，不在數發部掌管範圍，「屬於中華電信與民間公司的商業行爲。」

由於憑證效期爲1年，中華電信正趕在8月被撤銷前，提早協助民間企業客戶轉介或換髮新憑證，以延續新一年時效。依照中華電信回覆本刊數字，今年7月31日前到期的企業客戶，已逾6成完成轉換或更新，而8月1日後到期的企業客戶，也正加緊處理中，但未透露具體進度。

儘管數發部一再強調，已超前部署啓動應變措施；但面對攸關全民資安的重大危機，數發部「只管政府、不理民間」的態度，仍引來專家質疑。

資安學者翻開《數位發展部組織法》指出，數發部職責是要協助「公、私部門」數位轉型業務，且有權訂定相關審驗規範。這次事件，除了政府憑證受影響，民間公司也遇到有損權益的不合理狀況，數發部理應督導、完善相關機制。

另名網路治理專家也點出，數發部確實是透過中華電信購買政府網站憑證，「但維運業務委外，並不代表法律與行政責任也委外。」他質疑，數發部3月就掌握狀況，早有機會積極介入調查，避免事態愈演愈烈。

點開谷歌五月底公告，內文指出，中華電存在「不合規、未履行改善承諾、對公開事故未有改進成果」等「令人擔憂的行爲模式」，不再信任其憑證。

提早續發憑證恐擴大風險

專家籲停用改採其他憑證

「但『令人擔憂的行爲』到底是哪些？數發部應該徹底調查。」資工專業出身的國民黨立委葛如鈞舉例，有疑慮的行爲可能包含將憑證錯發給釣魚網站、未撤銷危險網站的憑證等，數發部必須全面盤點，才能避免類似狀況在臺網公司重演。

面對外界質疑，數發部僅說明，「本部沒有對中華電信啓動行政調查的權責，但將依契約要求改進，確保政府網站的信任穩定性。」至於民間網站，則透過產業公協會協助，持續與中華電信合作改善。

但數發部的消極態度，恐讓大衆持續曝於資安風險之中。首先，中華電信只急着在8月「失去信任」前，替客戶「提早核發」新憑證，卻未具體說明資安改進措施。若無法如預期在明年3月重獲谷歌信任，等於只是讓憑證失效的定時炸彈延後一年引爆，而非解決根本問題。

葛如鈞比喻，就像一個國際組織發現汽車製造商的產品有爆炸風險，訂出問題產品的落日停售時間；但製造商卻在停售死線生效前到處賣車，根本是擴大危險範圍，而主管機關竟無動於衷。

資安專家也解讀，在沒有重獲谷歌信任之前，「舊憑證就是被認爲有風險，理論上不應再續用。」他認爲，數發部要明確向大衆說明，中華電信憑證有哪些問題，呼籲各界暫停使用，改向其他機構申請；而數發部也應在暫緩使用期間進入調查、督導。

臺灣的憑證安全，已在國際蒙上一層不信任陰影，作爲網路與資通安全的主管機關，數發部沒有切割卸責的餘地。

更多內容，請參閱最新一期《今週刊》(第1489期)

谷歌撤銷信任 中華電信憑證危機未解！8月資安破口倒數 數發部責無旁貸