这周我们紧急更换封面,换成了中华电信两张根凭证遭Google撤销的深入报导,这是台湾第一起重大商用凭证的信任危机事件。
Google 撤销中华电信凭证信任,不是源自单一事件的决定,而中华电信在凭证作业上,长期的「不合规」行为和「诚信」问题所致。甚至更像是,为了弥补一个小错误,连带衍生许多大问题,才导致的信任雪崩。
我们资安主笔黄彦棻深入剖析了重要造成信任崩坏的原因。
第一个也是最初的原因是,凭证扩充栏位问题。政府委托给中华电信维运的政府伺服器数位凭证管理中心(GTLSCA)所发的凭证栏位有问题。这其实不是太大的问题,国外其他凭证中心也曾发生凭证资讯不正确而需更换,只要「及时换新凭证」,本来就是例行维运会遭遇的可控事件。
这个「及时」,依照主要浏览器供应商共组成的社群合规规范(BRs)要求,问题凭证最快一天,最慢必须在「五天」内完成废止。这是为了信任考量,不想让失效的凭证流通在外,削弱使用者对凭证机制的信心,就像发现了一批伪造身分证,要赶快找出来销毁,免得大众对身分证的有效性产生怀疑,就会带来更全面性的信任风险。
但是,中华电信处理凭证问题时,多次(至少两次)无法遵循此一时效,甚至以「凭证用于塔台」作为延期理由,事后被揭穿与凭证可用规定不符,中华电信才改口用于航班网站。这些未依社群公约处理的行为及不实借口,让Google认定是更严重的「诚信」问题,而不只是技术问题。这是造成凭证撤销的第二个原因。
中华电信维运GTLSCA时,因出错需要废止的凭证多达数千张,而且不只一次,第一次来延迟撤消作业时,中华电信曾对社群承诺会改进,却又再次发生延迟。问题重复发生,但中华电信内部没有任何矫正预防措施,甚至外部稽核人员进行内部稽核时发现,中华电信没有留下因应纪录。
早在2024年11月,数发部委托第三方稽核的2024年政府伺服器数位凭证管理中心外部稽核报告中就提到,从2023年10月后,委外维运的中华电信发生两起凭证撤销作业,都未能在5天内完成作业,而是各花了一个月。两次各只有一份文件,连时间轴纪录都没有。而且到2024年7月23日前没有任何矫正或预防措施。看到这样的稽核保留意见,难怪数发部要赶快建立凭证备援机制。
大规模作业重复出错没有改善,甚至不敢留下详细纪录,更凸显了中华电信凭证作业内部管理机制失效了,这是第三个原因。
还有一点值得留意的是,中华电信自己维运的「ePKI商用凭证」没有发生同样的问题,而另一个负责承包政府GTLSCA的维运团队却出包,导致「商用没问题,政府用的有问题」的吊诡情况,这凸显出中华电信不同部门沟通不良的组织管理问题。
无法遵守社群规范,又提供不实理由,更缺乏有效内控,导致Google失去对中华电信的数位信心,才会不只撤销了次级凭证管理中心GTLSCA的根凭证,连同上属的中华电信商用凭证ePKI Root CA根凭证都被撤销。
对维运人员来说,更换网站安全凭证不难,只是有点费工,需要一些时间,过去也曾有不少网站的凭证过期、失效事件,像Teams在2020年就曾因SSL凭证过期,当机3小时,影响2千万用户,找到问题后,1小时就完成换新。
许多企业长年租用中华电信机房、网路,多半顺便租用相关的网路凭证,尤其是政府机关及其外包厂商。大型台湾企业也多半选用台湾在地的网路凭证业者,不是台网就是中华电信的凭证。
目前使用中华电信所发凭证的商用网站,短期内没有失效的风险。但若「忘了」换新,明年凭证期限一到,恐怕就会像Teams一样,网站突然当机数小时。
平常忙碌的电商平台,医院挂号网站(过去曾发生过医院网站因凭证过期而当机)一但当机,会大大影响了所有顾客和病人,这就不只是数位信任的失效,更是顾客信任的崩坏。不只是用了问题商用凭证的企业,对中华电信失去信心,也恐怕会连带波及这些企业的顾客的信赖感。