Google官方6月2日晚間重磅宣布,自8月1日起Chrome瀏覽器將不再預設信任中華電信(Chunghwa Telecom)及其政府鏈(行政院 GTLSCA)簽發的網站憑證,屆時使用者造訪相關網站時,可能會碰上「連線不安全」的尷尬警告。國民黨科技立委葛如鈞痛批,中華電信新聞稿避重就輕,甚至聲明內「這句話」,翻譯後即「你不要用Chrome就好了」,讓他痛批,「核彈級的數位信任大爆炸,完全不虛假,整個行政機關、官股體系已不值得信賴」。
Google日前在官網上宣布,將自2025年8月1日起,Chrome瀏覽器將不再預設信任中華電信(Chunghwa Telecom)及其政府鏈(行政院 GTLSCA)和匈牙利Netlock所簽發的TLS憑證,此決定適用於Chrome 139版本後、涵蓋Windows、macOS、Android等平台,原因是過去一年內,觀察上述機構在憑證管理上多次出現違規與改進承諾落空,導致Google資安團隊決定「撤回信任」,屆時將看到「整頁紅色警示」。
中華電信發聲明強調,所有在2025年7月31日前簽發的憑證不受影響,問題只發生在之後的新憑證,且僅限於Chrome使用者,其他如微軟Edge、蘋果Safari等瀏覽器則可正常運作。他們表示問題源於未能及時完成政策技術調整,並非憑證本身有安全漏洞,公司將爭取盡速恢復Chrome預設信任,預計2026年3月前完成相關程序。
行政院數位發展部則表示,早在今年3月就已針對信任政策變動啟動雙憑證機制,導入本土通過國際信任驗證的CA廠商,以便網站可無縫切換,避免憑證失效造成服務中斷,他們強調,目前政府網站仍能正常在Chrome中運作,未來也會持續進行相容性測試與政策調整,確保公部門數位服務不中斷。
根據Google公告,2025年8月1日後新簽發的中華電信憑證,將不再被Chrome信任,若屆時政府、金融、醫療等網站仍未更換為Google認可的公信CA憑證,將在Chrome中被標示為「不安全」,甚至遭全面攔阻。換句話說,影響不僅限於業者,更攸關全民網路使用體驗與資訊安全。
而國民黨立委葛如鈞在臉書發文痛批,該消息堪稱核彈級的數位信任大爆炸,這樣的數位政府、中華電信,還值得信任嗎?如何能讓人民相信你們能管好資安、國安或其他的安全?更可怕的是中華電信的新聞稿,避重就輕不談,甚至說「受影響範圍限於用於Chrome瀏覽器,至於使用微軟、蘋果等其他瀏覽器,則完全不受影響」翻譯意思就是「你不要用Chrome就好了」,讓他傻眼,「Chrome怎麼說也是世界上佔有率第1名(高達約65%)的瀏覽器」。
在Google Chrome對外公告的審查結果,此次決定撤除對中華電信(和行政院)憑證的預設信任,主因是「CA長期、反覆出現合規通報延遲、撤銷不及、稽核與揭露欠缺透明等違反 CA/Browser Forum 基準要求 (BR) 的問題」。葛如鈞指出,這是一種巨大的合規缺漏與流程缺陷,流程缺陷可能增加詐騙網站取得有效憑證的機率,當驗證鬆散或撤銷遲緩時,即使沒有「蓄意共謀」,攻擊者也能更輕易取得或長期持有有效憑證,用來包裝釣魚詐騙網站。
葛如鈞抨擊,很難不讓人聯想,政府一邊喊數位韌性、資通安全、個資保護,一邊大聲疾呼增加預算打詐、防詐,但率先被全球最大瀏覽器公告為不信任的,竟然正正就是官股電信公司中華電信,以及最高行政機關行政院,這是否恰恰證明了整個行政機關、官股體系不值得信賴?還是證明了詐騙產業的敵人就在本能寺?「我依舊相信,中華電信、政府單位、機關法人內部都有戮力從供的工程師和公務員,但顯然是盤根錯節的內部結構或是某些責任層級已不再值得信任」。