中華電信憑證危機未解！8月資安破口倒數 數發部責無旁貸

（圖／今週刊提供）

谷歌宣佈8月起不再信任中華電信核發的憑證，逾萬個公私部門網站將受影響。但數發部卻強調只能管理「政府」網站，且依職權難以針對事件啓動調查，真是如此嗎？

一場看不見的數位風暴，即將於8月1日登陸臺灣。身處風暴中心的主管機關數發部，卻未正視問題。

谷歌（Google）今年五月底宣佈，自8月起，其Chrome瀏覽器將不再信任中華電信所簽發的TLS網站憑證，國內約有一萬個網站將受影響，許多網頁可能淪爲資安破口。

「網站憑證」的功能，是被用來確保網頁的「身分正確」與「資料安全」。當你點進一個網站，伺服器會提供一個密件信封，讓你把指令封裝、寄出；隨後伺服器也以相同方式回傳資料，才能開始瀏覽網頁內容。

網站憑證就是那個「密件信封」，因爲寫上正確收件地址，且信件加密封條，內容不會被偷看或竄改；一旦沒有憑證，就像寄出一張「明信片」，資訊不只暴露於衆，還可能被路人篡改內容及地址。

因此，點進一個「沒有憑證」的網站，使用者等於公開所有的個資、足跡，容易被駭客攔截或僞造資料，甚至讓你誤入僞冒的網站。

數發部「做半套」監管消極

只顧政府網站 民間風險未解

谷歌在全世界找了67家機構提供憑證，其中包括臺灣的中華電信和臺灣網路認證公司（TWCA）。這次出包的中華電信，在國內核發憑證網站約1萬多個，其中政府機關佔約8千個、民間企業佔約2千個。

面對這場不信任風暴，主管網路資訊的數發部強調，針對政府委託中華電信申購的網站憑證，早在3月就啓動「雙憑證機制」，協助政府機關將憑證轉換到臺網公司，目前已超過9成完成更新；至於2千多個民間網站，不在數發部掌管範圍，「屬於中華電信與民間公司的商業行爲。」

由於憑證效期爲1年，中華電信正趕在8月被撤銷前，提早協助民間企業客戶轉介或換髮新憑證，以延續新一年時效。依照中華電信回覆本刊數字，今年7月31日前到期的企業客戶，已逾6成完成轉換或更新，而8月1日後到期的企業客戶，也正加緊處理中，但未透露具體進度。

儘管數發部一再強調，已超前部署啓動應變措施；但面對攸關全民資安的重大危機，數發部「只管政府、不理民間」的態度，仍引來專家質疑。

資安學者翻開《數位發展部組織法》指出，數發部職責是要協助「公、私部門」數位轉型業務，且有權訂定相關審驗規範。這次事件，除了政府憑證受影響，民間公司也遇到有損權益的不合理狀況，數發部理應督導、完善相關機制。

另名網路治理專家也點出，數發部確實是透過中華電信購買政府網站憑證，「但維運業務委外，並不代表法律與行政責任也委外。」他質疑，數發部3月就掌握狀況，早有機會積極介入調查，避免事態愈演愈烈。

更多內容，請參閱最新一期《今週刊》(第1489期)

（圖／今週刊提供）