立委葛如钧
中华电信TLS凭证遭Google宣布Crome将移除对中华电信8月后核发新凭证的信任,立委葛如钧今天(7/10)质疑,政府部会仍有近半的部会使用中华电信的凭证,恐导致民众无法如常浏览网站,造成信任危机。
葛如钧表示,今年5月30日,Google及Mozilla宣布从8月起撤销对中华电信TLS凭证的信任,不仅Chrome浏览器,Firefox更溯及至4月15日不信任,届时民众进入这些使用被撤销凭证的网站,将看到「不安全」警示讯息,诈骗、钓鱼网站更可能趁虚而入,几乎政府网站都会受到影响。
尽管数发部宣称已提前在3月掌握讯息并「超前部署」,对政府网站已启动双凭证机制,且中华电信强调为其内部凭证管理上的疏失,并非凭证本身出现安全漏洞。
葛如钧指出,事实并非如此,仍有不少部会,包括数发部本身仍使用中华电信的凭证,并且发现政府部会并没有设定自动切换双凭证,实地测试,一旦凭证失效,这些政府网站并没有直接切换至TWCA的凭证,其中交通部、农业部的凭证更在4月15日之后发出,直接受到Firefox新措施的影响,未来民众点入两部会网站将出现警叹号、不安全的警示讯息,中华电信及数发部如何保证民众不受影响?Google全球资安团队所提出的问题,「怎么会不是资安问题呢?」。
葛如钧并指出,现有的31个政府部会,仍有14个使用中华电信的凭证,比例约45.1%,如果扣除使用国外凭证,则比例高达50%,当政府机关网站被标示具有安全疑虑,民众不敢进入数发部、交通部等部会网站,可能成为资安、诈骗的大破口,直言此一资安政策,如何谈及国安。
他认为,这起事件不仅影响政府机关,也外溢至民间产业,目前已收到电商业者陈情,担心消费者进入电商网站跳出安全疑虑讯息,导致信任危机、订单流失,造成商誉受损。更换凭证需要时间及成本,还有技术支援,数发部不应将责任向外推。
葛如钧要求3点,首先是数发部作为主管机关,应全面清查行政院所属三级以上政府机关网站,确保全面建置且具自动切换的双凭证机制;其次是,修改电子签章法以纳入伺服器凭证规范,强化法制,明确化监管;最后是协助民间,数发部检讨凭证管理的问题及资安原因,并督促中华电信提出补救方案,协助受影响业者渡过事件。
中华电信:已协助99.9%政府机关处理网站凭证问题
中华电信今天第一时间对外说明,中华电信董事长简志诚亲自对外说明,他表示,中华电信发的凭证是持续有效,不会在7月31日之后失效,其次是凭证为合法身分证,该起事件并没有涉及资安,甚至是国家安全。对于Mozilla,Mozilla要求全球根凭证如果是早期发行的凭证,必需在2025年4月15日更新,中华电信已配合更新,甚至已提前更新,现在仍可以发Mozilla的凭证,并没有被取消,并非Mozilla针对中华电信单一业者的政策要求。
面对立委质疑Chrome此次撤信措施,对政府机关网站可能引发的安全疑虑,简志诚指出,针对1.1万多个政府网站凭证,已重新发给凭证且凭证持续有效,目前已处理的机关网站已达到99.9%,仅剩7个网站在申请中。
对于立委展示网站使用中华电信凭证被移除后无法正常浏览的问题,简志诚强调,中华电信目前的凭证持续有效,该展示直接将网站使用的有效凭证删除,当然无法正常浏览网站是正常的,「这是个奇怪的展示」,简志诚并指出,在数发部的支持下,现在已协助超过9成政府机关网站处理好问题,其中包括交通部、农业部网站,甚至数发部已启动双凭证机制。
他也强调,中华电信目前核发的凭证持续有效,并非过了7月31日之后凭证失效,对于立委的质疑,可能混淆视听造成外界的疑虑。对于使用中华电信凭证的网站启动双凭证机制,以两张凭证建立备援,并且自动切换,不会有一张凭证无法使用,就造成网站无法正常浏览的问题。
简志诚也特别澄清,全球网站凭证核发共有67家,国内为中华电信及台网2家,网站凭证核发为商业机制,没有涉及政府相关单位,台湾约有39.6万个网站,中华电信仅发出2千多张商业凭证,中华电信已逐一与商业网站客户联络并提供协助,目前已协助9成的客户处理问题,更新凭证或协助客户移转到其他业者的凭证,目前剩余的1成为申请凭证中。
简志诚认为,网站使用的凭证持续有效,没有失效或是不信任的问题,无关民众对政府信任与否,甚至是更大的国安议题。