針對Google憑證事件 中華電信提出8大具體改善作爲

中華電信。資料照片

針對Google Chrome瀏覽器8月1日起不再預設信任中華電（2412）簽發的網站憑證，中華電信提出八大具體改善作爲。並強調憑證可視爲網際網路上的「身份證」，跟資安沒有關係，無資安當然就沒有國安議題。但內部團隊確實在行爲上出錯，需向社會表示抱歉。

八大具體作爲如下：

自 2025 年 8 月 1 日起，全面暫停簽發新 TLS 憑證，避免影響使用者與網站信任。

協助政府與企業客戶提前完成憑證換髮，截至6月13日，政府機關使用中華電信TLS憑證的網站中，已有超過95.4%完成憑證更新或轉換爲雙憑證，預計7月底前全數完成。

整合政府網站與商用網站團隊，統一技術標準與合規流程，提升整體管理效能。

集結最優秀人才，成立跨部門專案小組，導入敏捷管理工具，每週追蹤改善進度。

建立事件應變SOP：4小時內召開會議、72小時內提交報告、1個月內結案。

每季召開法規監控會議，從文件到系統進行端對端追蹤，確保政策落實

增加檢測工具，建立雙層憑證格式審查機制，減少人工疏漏。

預計隨即啓動新根憑證申請，目標2026年重返 Chrome 預設信任清單，持續爲臺灣提供可信憑。

至於事件發生原由，主要是中華電信憑證團隊對於新生效的憑證基準規範（Baseline Requirements, BR）未即時掌握與落實。Google Chrome會不斷更新憑證基準規範，CA業者需在新的規範生效後立即依循落實，但中華電信的憑證團隊沒有即時掌握並且落實。舉例來說：2023年9月15日生效的BR，修訂延伸用途欄位EKU的標註內容，但團隊沒有即時掌握和執行，導致中華電信簽發的部分憑證格式（EKU）不符規定，另外的疏失也包含機關代號和地址欄位的編碼不符合規範要求。

另外，中華電信憑證團隊未能依照「信任根憑證計劃」運作規則確實執行。Google Chrome並非不允許有任何不符規事項，也設置其Bugzilla論壇，讓所有人都可以透過公開的技術平臺來追蹤問題、迴應問題和進行討論，但也有相對應的規則來要求CA業者遇到不符規事項或論壇詢問時之處理方式/時限，而中華電信的憑證團隊沒有確實依照規則和要求去執行，歸納背後原因的重點是團隊遇到執行有窒礙難行時，沒有即時向上通報、以快速的尋求解決。

例如，依照規定，當Bugzilla論壇有詢問時，CA業者需於72小時內迴應，但由於依照中華電信和使用憑證客戶的合約，中華電信需經過客戶的審查才能迴應論壇提問，所以有幾件無法在72小時內完成迴應，也造成論壇輿論不滿，認爲中華電信反應過慢。

另，依照規定，CA業者應定期提交合規文件，但由於團隊成員更替、未完整交接，導致承接的團隊成員未在規定時限內提交自評報告。

2024年幾項不合規事項發生後，中華電信督導憑證團隊的主管接獲通報，旋即率隊積極與Google溝通並提出改善計劃，Google團隊雖肯定中華電信的改善計劃，但表達需優先採取保護Chrome使用者安全的應對措施，因此取消對中華電信新核發憑證的預設信任，也同時向本公司說明可重新申請加入，雙方並持續溝通。