Google Chrome 將自 2025 年 8 月起停止信任中華電信與 Netlock 新 TLS 憑證,衝擊網站安全,用戶或面臨警告。
(前情提要:ZachXBT:幣託BitoPro疑在5月8日遭駭客攻擊損失1150萬美元 )
(背景補充:以太坊Pectra升級「駭客爽翻」,Wintermute警告:EIP-7702使大量合約部署自動化攻擊 )
全球市佔率最高的瀏覽器 Google Chrome 宣布,自 2025 年 8 月 1 日起,將停止預設信任由台灣中華電信及匈牙利 Netlock 在此日期後發佈的新 TLS 伺服器驗證憑證。此決策源於 Google 對這兩家憑證機構 (CA) 持續存在的合規問題與信任度疑慮,預計將對採用其憑證的眾多網站造成影響,用戶存取時可能遭遇安全警示。
信任危機與 Google 政策轉變
Google 指出,此變更主要影響在 2025 年 8 月 1 日後發佈,且最早簽署憑證時間戳 (SCT) 晚於 2025 年 7 月 31 日 23:59:59 PM UTC 的憑證。此政策將適用於 Windows、macOS、ChromeOS、Android 及 Linux 平台上的 Chrome 瀏覽器,iOS 版 Chrome 則不受影響。TLS 憑證是確保網站與使用者間加密連線、保護資料傳輸安全的關鍵。Google 表示,中華電信與 Netlock 未能達到嚴格的行業標準。Google Chrome 團隊指出:
「過去數月乃至數年,我們觀察到一系列合規失敗、未兌現的改進承諾,以及對公開揭露事件報告缺乏具體、可衡量的進展回應。這些因素累積,考量到每個受信任 CA 對網際網路的固有風險,繼續給予公眾信任已不再合理。」
憑證機構必須遵循如 CA/Browser Forum TLS Baseline Requirements 等規範,以確保加密連線的安全性及可靠性。
對用戶及網站的直接衝擊
新政策實施後,若用戶透過 Chrome 瀏覽器造訪使用中華電信或 Netlock 於 2025 年 7 月 31 日後發佈之新憑證的網站,將會看到全頁安全警告,預設情況下無法直接存取。網站經營者可利用 Chrome Certificate Viewer 檢查其網站是否受影響,若憑證「Issued By」的「Organization (O)」欄位包含「Chunghwa Telecom」、「行政院」、「NETLOCK Ltd.」或「NETLOCK Kft.」,且憑證在 2025 年 8 月 1 日後使用或續期,即屬受影響範圍。企業內部網路可自 Chrome 127 版本起,透過安裝相應根 CA 憑證作為本機信任根來覆蓋此限制,但此法不適用於公開網站。
Google 建議受影響的網站經營者應儘速轉換至其他受信任的 CA,為避免對用戶造成影響,必須在現有憑證(若於 2025 年 7 月 31 日後到期)過期前完成轉換。替代選項包括 DigiCert、Let’s Encrypt 或台灣網路認證 (TWCA) 等。自 Chrome 128 版本起,開發者可使用命令列參數 --test-crs-constraints 模擬此變更的影響,以便提早測試。
中華電信回擊
而針對Google 指控,中華電信 2日發出四點聲明,強調發行之憑證安全無虞,請所有民眾放心:
一、中華電信經營及其受委託營運的公開服務的憑證管理中心,完全遵守且符合電子簽章法的規範,並皆通過WebTrust for CA及ISO 27001等國際標準外部稽核與驗證,所提供的數位簽章都具有法律效力,請所有客戶及使用者安心。
二、此次Google Chrome發布自Chrome 139 版起將移除預設信任中華電信於 2025年7月31日後簽發的新憑證,原因是部分程序未能在Chrome新政策要求的時限內調整完成,雖日前中華電信已完成所有調整且全數符合Chrome新政策要求,遺憾的是,Google Chrome仍決定先移除預設信任,移除的原因絕非是因憑證存在漏洞或私鑰洩漏,中華電信仍會積極爭取Chrome的預設信任,並預期在2026年3月完成。
三、中華電信表示,所有於2025年7月31日之前發行的憑證均不受影響;2025年7月31日之後發行的憑證,受影響範圍限於用於 Chrome瀏覽器時,至於使用微軟、蘋果等其他瀏覽器,則完全不受影響。
四、中華電信強調,因中華電信簽發的憑證完全合法合規,故客戶持憑證在政府、金融、證券、數位簽章等應用時,皆維持正常使用,不受任何影響,敬請民眾放心。
業界人士透露
而為何中華電信不能配合Google Chrome完成新政策調整?據資安經歷10年的業界人士指出,中華電信身為國內ISP龍頭,自然在推進新版TLS協議上,有一定的包袱與困難,主要壓力來自於政府相關行政命令法規的更新與民間與政府單位的憑證更換尚未完成。
過去更是為了支援舊版公務員的 XP 與 WIN7 系統 IE 瀏覽器,與政府相關單位多次周旋,而這次Google Chrome 對於新版憑證也對中華電信等主要憑證供應商造成了壓力,專家建議為避免民間在7月31日後,由中華電信提供憑證的相關網站無法讓任何民眾瀏覽使用,過去向中華電信採購憑證的企業用戶、政府相關採購單位,應盡快與中華電信取得新版憑證、並更新網頁。而為了避免更多流量損失,有關單位應該盡快更進相關動作或甚至頒布行政法規與公告來加速汰換。
