5月底Google宣布Chrome浏览器预设信任机制将祭出新的措施,其中有两家CA业者的合规改善情况未达到要求,造成可靠性下降,他们决定从Chrome 139开始,移除对于这两家CA于8月之后核发的新TLS凭证的信任,由于其中一家CA是台湾电信龙头中华电信,这项消息很快就引起国内关注。
由于此事影响的层面可能会相当广泛,中华电信也紧急发布声明说明处理情形,数位发展部也透露公部门网站已采取双凭证因应。
【攻击与威胁】
【漏洞与修补】
但对于这些漏洞的处理情形,GrayNoise仅透露皆已修补,其中CVE-2023-39780是透过近期的韧体更新缓解,鲜少有媒体掌握、透露进一步的资讯,我们尝试查询华硕的资安公告网页,但难以找到相关资料。为了找到更多资讯,我们联系华硕,请他们回应此事。
华硕表示,针对CVE-2023-39780的部分,他们已在2023年对RT-AX55发布的3.0.0.4.386_51948版韧体当中完成修补。特别的是,该公司提及另有4个漏洞编号实际上也是CVE-2023-39780,分别是:CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348。
【法规遵循】
Google在公开论坛中宣布Chrome浏览器预设信任将祭出新的措施,考量到两家CA业者中华电信及Netlock合规改善未符要求,可靠性信心下降,将从Chrome 139开始,移除对中华电信今年8月之后核发的新TLS凭证的信任,至于7月31日及之前的凭证则不受影响。
此事引发外界对中华电信及其受委托发行凭证的信心危机,对此,中华电信紧急发表声明,坦言未按新政策规定在时间内完成调整,导致遭Google决定移除浏览器预设信任凭证,目前已完成调整且符合新政策要求,争取明年3月重新回复Chrome浏览器信任。
对于中华电信的TLS凭证将被移除Chrome浏览器预设信任,数发部也在周一晚间发出新闻稿,指在今年3月已掌握情资,提前准备因应并启动政府网站双凭证机制,采用符合公开信任根凭证标准的本地凭证机构所签发的凭证,确保当特定凭证被浏览器移除预设信任,仍可以替代的凭证运作,使政府机关网站在各浏览器均能正常浏览,以维护政府公共服务的稳定度及可信度。
【资安产业动态】