科技核爆！Google撤銷中華電信、行政院預設信任　引發資安合規問題

▲Google點名宣告「中華電信（Chunghwa Telecom）」和「行政院」這兩個機關「不可信賴」。（圖／翻攝自Facebook／葛如鈞）

●葛如鈞／立法委員

核彈級的數位信任大爆炸！Google 跳出來率先不信任、不接受中華電信及其政府鏈（行政院 GTLSCA）於 7 月 31 日 之後簽發的所有新憑證 。受影響單位須儘速換髮或改用其他公信 CA，例如 TWCA，否則屆時將看到整頁紅色警示。

簡單講，本來用瀏覽器網址列左方都會有個信任鑰匙鎖圖案，這個小小圖標代表了無數網路公司、憑證簽發單位以及申用單位的努力，共同建立一個可信賴的網路。

如果沒有Google信任憑證　將被提醒爲不安全、甚至阻擋

但是這次Google官方部落格罕見發稿並向整個網路世界（全宇宙）點名宣告「中華電信（Chunghwa Telecom）」和「行政院」這兩個機關「不可信賴」！並且將在 Chrome 瀏覽器（v139 以上）撤銷對他們的預設信任。

換句話說，未來你連結中華電信簽發的政府、金融、證券、數位簽章等應用，如果該網站沒有更新爲 Google 信任的憑證，在Chrome瀏覽器旁的鑰匙圖案就會變爲紅色驚歎號提醒爲不安全，甚至會整頁阻擋。

這幾乎是天大的笑話與醜聞，沒想到整個網路世界第一次清楚學會 「Chunghwa Telecom」 兩個英文單字代表中華電信和 「行政院」三個繁體中文字，竟然是從谷歌資安團隊部落格向全世界發出的警示學習到。

這樣的數位政府，還值得信任嗎？這樣的中華電信，還值得信賴嗎？如何能讓人民相信您們能管好資安、國安或其他的安全？更可怕的是中華電信的新聞稿，避重就輕不談，甚至說「受影響範圍限於用於 Chrome瀏覽器時，至於使用微軟、蘋果等其他瀏覽器，則完全不受影響。」

翻譯意思就是你不要用 Chrome 就好了，我的天！不是我要幫 Chrome 講話，Chrome 怎麼說也是世界上佔有率第一名（高達約 65%）的瀏覽器，這竟然是中華電信新聞稿的最後一點結論？

這跟簡訊會詐騙、iMessage詐騙，那不要用簡訊、關閉iMessage就好，銀行有反洗錢問題，那就讓開戶變困難、轉帳金額變小就好！金融帳戶有防詐需求，那就不斷查覈用戶身分擾民重填不然就鎖帳戶就好！長者太容易被詐團盯上？那就頒佈臺灣銀行新法則，帳戶半年未交易就凍結「無法提款、轉帳」不就好了！？（啊，我忘了，上面講的全部都是我們現在的政府在防詐和反洗防的措施！）

這不是一件小事　流程缺陷可能增加詐騙網站取得有效憑證的機率

Google 這次在官網中詳細說明將阻擋「中華電信（Chunghwa Telecom）」和「行政院」關連的所有（受簽發憑證）網站的理由是「一連串的合規失敗、未兌現的改進承諾，以及對公開披露的事件報告缺乏具體、可衡量的進展。（a pattern of compliance failures, unmet improvement commitments, and the absence of tangible, measurable progress in response to publicly disclosed incident reports.）」

這不是一件小事，在 Google Chrome 對外公告的審查結果當中說明，此次決定撤除對中華電信（和行政院）憑證的預設信任，主因是「CA 長期、反覆出現 合規通報延遲、撤銷不及、稽覈與揭露欠缺透明 等違反 CA/Browser Forum 基準要求 (BR) 的問題」這是一種巨大的合規缺漏與流程缺陷，流程缺陷可能增加詐騙網站取得有效憑證的機率。

換句話說，流程缺陷 → 風險放大 → 詐騙網站可能更容易拿到（或繼續使用）有效憑證，當驗證鬆散或撤銷遲緩時，即使沒有「蓄意共謀」，攻擊者也能更輕易取得或長期持有有效憑證，用來包裝釣魚／詐騙網站！

很難不讓人聯想，我們的政府一邊喊數位韌性、資通安全、個資保護，一邊大聲疾呼增加預算打詐、防詐，但率先被全球最大瀏覽器公告爲不信任的，竟然正正就是我們的官股電信公司、大到不能倒的中華電信，以及最高行政機關行政院（憑證主體 O=Executive Yuan, C=TW 但 上層是 Chunghwa ePKI Root）！

這是否恰恰證明了整個行政機關、官股體系不值得信賴？還是證明了詐騙產業的敵人就在本能寺？我依舊相信，中華電信、政府單位、機關法人內部都有戮力從公的工程師和公務員，但顯然是盤根錯節的內部結構或是某些責任層級已不再值得信任，至少不再值得 Google 信任。

有關單位高喊打詐、防詐、資安即國安，但對網路信任、數位信任、個資信任的核心「中華電信」竟鬆散無作爲，甚至是變本加厲的放任數位信任被濫用。

「由於過去一年觀察到的令人擔憂的行爲模式，Chrome 對中華電信的可靠性的信心已減弱。這些模式代表了「誠信的喪失」，未能達到期望，侵蝕了這些認證機構作爲 Chrome 默認的公開信任憑證發行者的信任。（Chrome's confidence in the reliability of Chunghwa Telecom… has diminished due to patterns of 『concerning behavior』 observed over the past year. These patterns represent 『a loss of integrity』 and fall short of expectations, eroding trust in these CA Owners as publicly-trusted certificate issuers trusted by default in Chrome.）」其原文措詞激烈程度，不在話下，故說是引發科技圈核爆，完全不虛假。

我知道這是我的個人帳號，許多朋友也許在政治攻防激烈的當下，不希望對政府或官股企業有過多批評，但是，但是這是 Google！這是 Chrome！這是中華電信！這是行政院！什麼樣的系統性過失，纔會引發 Google 發出如此激烈的行爲反應？有請各位看倌，自行想像了。

▼由於過去一年觀察到的令人擔憂的行爲模式，Chrome 對中華電信的可靠性的信心已減弱。（圖／ETtoday新聞雲資料照）

►思想可以無限大－喜歡這篇文章？　歡迎加入「雲論粉絲團」看更多！

●本文獲授權，轉載自「葛如鈞」，以上言論不代表本網立場。歡迎投書《雲論》讓優質好文被更多人看見，請寄editor88@ettoday.net或點此投稿，本網保有文字刪修權。