中华电信就凭证遭撤销一事公开发表道歉声明,宣布自今年8月1日起暂停签发TLS网站凭证,将「主动联系提醒」效期将到的TLS网站凭证客户,除了「免费」提供凭证更新服务,还将提供相关客户必要的辅导或协助转介至其他凭证机构。中华电信并宣称,将于明年三月,重新取得Chrome信任,但外界普遍认为过于乐观。
一场突如其来的凭证「撤信」风暴,让作为国家数位基础建设重要支柱的中华电信,面临前所未有的信任危机。这不仅是一场单纯的技术风波,它更像是一声震耳欲聋的警钟,敲响了台湾在数位基础设施治理能力、企业内部管理,乃至于国家数位主权与韧性的深层次问题全面检视。
这场席卷台湾数位领域的凭证信任危机,其核心导火线是中华电信所签发的TLS(传输层安全)网站凭证,遭到全球网路巨擘Google的撤销信任。这意味著,原应作为网站身份验证与加密通讯基石的凭证,在部分浏览器中将不再被视为有效,可能导致用户在浏览相关网站时遭遇安全警告,甚至无法存取服务,严重冲击仰赖网路服务的政府机关与企业营运。
事实上,这场危机并非毫无预警。数位发展部(MoDA)对此事件早有警觉,「早在事件发生一年多前,数发部就已收到相关提醒,并持续与Google协商,试图延长凭证撤销的时间」。
政府部门对于中华电信凭证稳定性疑虑的超前部署,凸显了这场危机的累积性与复杂性;而当风暴真正降临时,不管是中华电信、政府及相关企业虽然已采取一系列应对措施,挑战依然严峻。
但这起凭证撤信事件,也迫使我们重新思考,在日益数位化的世界中,台湾应如何在凭证管理上捍卫自身的数位主权。
政府前瞻应变,启动双凭证架构确保服务不中断
面对这场由Google撤销中华电信凭证信任所引爆的数位危机,台湾的政府部门,特别是数位发展部(MoDA),早已有所准备。
事实上,数发部对中华电信的稳定性疑虑并非一朝一夕。消息指出,早在事件发生一年多前,数发部便已收到相关警示,并持续与Google进行协商,试图争取时间,延长凭证撤销的期限。
为了将中华电信凭证撤信对政府服务可能造成的冲击降到最低,政府部门在事件爆发前三个月,就已启动并设计了「双凭证架构」。这项前瞻性策略,允许各级政府机关可以同时采用中华电信与台湾网路认证公司(TWCA)两家凭证服务。数发部采取此策略的深层考量,正是因为政府「知道中华电信有点不太稳」,因此将台网(TWCA)定位为潜在的「备援」、现在则转成「核心」的凭证提供者。
随著中华电信的凭证遭Google撤销信任以致凭证即将失效, Google甚至已直接告知数发部,即使中华电信的凭证不能用,但TWCA的下一代凭证「已经植入」主流浏览器的信任根目录,这无疑为台湾的凭证服务提供了关键的替代方案与稳固的基础。
此外,数发部也发布新闻稿说明,根据Google公告内容,本次信任政策变动是针对114年8月1日之后签发的新凭证,因此之前由政府TLS凭证中心(GTLSCA)所签发的网站凭证,在1年效期内仍可正常使用,并未受到此次变动的直接影响。换言之,民众目前透过 Chrome 浏览各政府网站时,依然能获得完整的安全连线保护,无须担忧网站遭浏览器警示或显示异常。
为强化整体网站服务的持续性与国际信任相容性,数发部也表示,从今年3月起,政府机关已陆续导入符合公开信任根凭证标准的本土凭证机构,确保即使原有凭证于特定浏览器环境中遭到撤除信任,亦能无缝切换至受信任之替代凭证。
同时,数发部已提供相关的技术支援与作业指引,协助各政府机关完成系统设定与相容性检测,避免因技术落差导致服务中断或民众误解,进一步巩固整体政府数位治理的信任基础。
从数发部的提前因应作为可以发现,面对全球浏览器信任政策的快速变动,政府除了保持关注外,同时体现政府对数位公共服务不中断的承诺。
从政府凭证的避险决策,看国家数位主权战略布局
值得注意的是,这并非台湾首次面对浏览器巨头在凭证标准上的巨大影响力。过去,政府凭证总管理中心(GRCA)曾试图将其凭证植入浏览器,却因浏览器规定过于严格,导致GRCA的第二代根凭证未能成功植入。此一经验促使专家呼吁,政府作为国家单位,不应完全受制于商用浏览器的规范。
基于这样的考量,国发会早在2019年便做出了一项重要的策略性避险决策:将TLS凭证相关业务移转至商用凭证机构GTLSCA(挂在中华电信ePKI根凭证管理中心)之下。
此举的用意,是让商用企业的凭证遵循商用市场的浏览器标准,进而「避免政府的根凭证(Root CA)因浏览器规范而受到限制」;同时,这也确保了政府所推动的数位服务凭证,例如广泛用于报税的凭证,得以「不受商业凭证标准的绑架」。此次中华电信凭证撤信事件,从某种程度上「印证了当时这项避险决策的正确性」。
这解释了,为何尽管中华电信作为商业实体面临凭证危机,但一般民众持有的政府凭证、工商凭证、自然人凭证等,在政府、金融、证券和数位签章等相关应用上,仍「维持正常使用,不受影响」。这体现了政府在数位基础设施布局上的前瞻性思维与对国家数位主权的捍卫。
中华电信的道歉与企业对其信任重建挑战
面对此次危机,中华电信已就凭证遭撤销一事公开发表道歉声明,并宣布自今年8月1日起暂停签发TLS网站凭证。对于在7月31日之前已签发的TLS网站凭证,中华电信强调,其在有效期限内(自签发日起算365日)的有效性「不会受到任何影响」。
中华电信更进一步承诺,将「主动联系提醒」效期将到的TLS网站凭证客户,除了「免费」提供凭证更新服务,还将提供相关客户必要的辅导或协助转介至其他凭证机构。
对于一般民众浏览网站,以及持有中华电信签发或受委托营运的政府凭证、工商凭证、自然人凭证等,中华电信在声明中也强调,这些凭证皆「维持正常使用,不受影响」。
然而,尽管中华电信已做出承诺,部分「企业用户」仍对此表达了深切疑虑。关键在于,许多公司过去向中华电信购买的是「多年制的凭证服务」。这类客户尤其关切,如果七月底之后的凭证用户确实受到影响,中华电信的补救措施究竟能否完全弥补其损失与不便。
这份来自广大企业客户对服务延续性的担忧,显露出中华电信当前面临的巨大压力,不仅来自外部社群与监管机构,更来自其核心的企业用户。
更令人担忧的是中华电信对于重建信任时间的乐观估计。中华电信对外宣称,目标是在2026年3月,即约9个月后,重新获得Google Chrome浏览器的信任,让其新推出的凭证再度被视为可信任。
然而,资安专家对于此一说法直言「过于乐观」。专家指出,一般而言,新的凭证中心(CA)要获得浏览器信任,并成功将其根凭证(Root CA)植入浏览器信任根目录,通常需要「至少一年半到两年」的时间。
该名专家更直言,对于中华电信这样「曾经出过事」的机构,其审查过程将会「更严格」,即使是凭证管理上的「优等生」台网(TWCA),其凭证植入也耗费了相当长时间。
因此,资安专家对于中华电信声称仅需9个月时间就能重新争取并获得Google信任的说法,显得「太过乐观」。外界普遍认为,这种过于乐观的说法,是中华电信为了「降低冲击」,并在「延迟发现」后,将责任转移给客户,最终可能「顺势下车」的一种策略。
从手动到自动化更换凭证,考验企业数位化程度
对于受影响的企业和网站主而言,更换凭证已成为当务之急。资安专家表示,单一网站更换凭证的技术门槛并「不高」,从申请、凭证核发、测试到最终上线,最快「半天」内即可完成。
专家进一步解释,一般的网站主通常会进行「前置作业」,例如预先产出凭证请求(CSR),等到凭证机构(CA)签发后,再进行审验测试,并在短时间内完成替换,主要原因在于网站「不能停」。
然而,挑战在于台湾大多数企业和网站主,目前仍主要采用「手动」方式来申请和更换凭证。尽管自动化凭证管理协议ACME(Automatic Certificate Management Environment)是一个开源且免费的选项,但在台湾企业中,「还不普及」。
这意味著,当企业拥有的网站或服务凭证数量庞大时,单纯的「手动更换」将会「吃掉维运部门不少时间」,成为巨大的挑战。这也解释了为何政府机关自中华电信凭证多次出包以来,「已经换了好几次」凭证,这显示了台湾在数位化管理流程上,仍有待提升自动化与效率。
此次事件也敲响了警钟,提醒所有政府和民间机构,都应该将凭证管理,特别是凭证过期或失效的风险,纳入其营运持续计划(BCP)中。
资安专家强调,尽管凭证过期或失效后可被修复,但对于许多机关和企业而言,网站服务往往「不会是他们的主要服务」,这可能导致他们「轻忽」凭证失效的风险,进而缺乏充足的应变计划。
然而,对于电子商务平台、网路银行等这类「必须靠网路才能营运」的服务业者,凭证的有效性则显得至关重要。
由于凭证更新周期目前约为一年(未来可能缩短到47天),这种较长的周期容易导致组织「忽略」此一任务,直到最后才发现时间已所剩无几。更值得警惕的是,凭证失效具有「延迟性发作」的特性,这使得风险在平时容易被低估,却可能在关键时刻引爆。
对于台湾的政府和企业而言,这是「第一次」遇到如此大规模的凭证被撤销事件,这更需要提高所有人的警觉。
管理与诚信是根本,韧性是未来
中华电信凭证失效风波,是一场关于「数位信任」的警钟。它清晰地揭示了现代社会对数位凭证基础设施的高度依赖,以及一旦凭证管理出现疏失,可能带来的深远影响。这不仅是对中华电信这家重要关键基础设施服务提供者的严峻挑战,更是对台湾整体数位环境韧性的一次全面考验。
此次事件的症结点,虽然从技术问题出发,但最终却归结于中华电信「内部管理问题」与「诚信问题」的核心。浏览器社群对中华电信的质疑,从来不是其技术能力不足,而是其「处理问题的态度」、「回应问题的方式」以及「遵守社群公约」的诚意。
这种被资安专家形容为「老大心态」和对社群规则的轻忽,最终导致了国际社群对其信任的全面崩溃。专家甚至严厉指出,如果连处理凭证这样关键的数位信任基础设施都采取这种「无所谓」的态度,那么当涉及到「国安」等级的重大事件时,其影响将「不可设想」。
因此,将「技术面」与「管理面」分开看待,中华电信需要更加严肃面对其在「管理面」的「诚信问题」。为重建信任并提升国家数位韧性,未来中华电信必须痛定思痛,彻底解决其内部管理、流程合规与诚信问题,才可能有望重新获得国际社群的信任。
同时,所有依赖数位凭证服务的政府和民间企业,特别是关键基础设施服务提供者,都应从此次事件中汲取宝贵教训。
除了强化其凭证管理策略,更应建立健全的营运持续计划(BCP),并积极评估采用「多凭证架构」、「自动化更新机制」等策略,以全面提升自身的数位韧性,应对未来可能发生的各种风险。
资安专家认为,这一场凭证失信事件对台湾整体社会带来的启发,不仅关乎个别企业的稳健营运,更直接影响著台湾整体数位经济的稳健发展与国家安全,因为,「要重建信任,将是一条漫长且艰辛的道路。」