中华电信凭证被Chrome撤信,数发部推动政府机关采用双凭证机制因应,立委葛如钧在本周召开记者会,公开质疑双凭证机制无效,政府推动双凭证机制是场骗局,数发部则回应,从浏览器端删除凭证的测试方式,并不符合双凭证机制设计的目的。
葛如钧在周四召开记者会,质疑数发部因应中华电信凭证撤信事件,推动政府机关采用的双凭证机制无效,葛如钧还现场展示从浏览器的凭证管理操作中删除中华电信凭证,无法正常浏览数发部、交通部网站,对外「证明」数发部推动双凭证机制并没有生效。
数发部回应指出,双凭证机制设计的目的是,让政府机关预先申请两张由不同凭证机构所签发的TLS凭证,一旦使用中凭证遭遇信任异动或届期失效,就能立即安装另一张备援凭证,以避免对外的网站服务中断,同时免去重新申请凭证所需要的时间。
数发部认为,从使用者端手动删除凭证,观察网站自动切换的做法,实务上和网站凭证因为效期过期或信任撤销的实际情境不同,不符合双凭证机制设计重点。
数发部掌握中华电信凭证撤信讯息,今年3月已启动政府机关导入双凭证机制,推动的双凭证机制,同时核发台网公司TWCA的凭证及中华电信新的根凭证 HiPKI。各政府机关取得双凭证后,可自行选择一张凭证安装使用,另一张凭证作为备援。当使用中的凭证遇到届期失效或信任变动,可以另一张凭证备用。
至于立委质疑中华电信凭证撤信不只政府机关受影响,商业凭证客户也受影响,中华电信日前已对外说明,针对商业凭证客户已协助更换新凭证,或移转其他凭证。
中华电信董事长简志诚昨天表示,已逐一与商业网站客户联络并提供协助,现已协助9成的客户处理问题,更新凭证或协助客户移转到其他业者的凭证,剩余1正在申请凭证中。
至于立委在记者会中提到,Firefox提前回塑到4月15日对中华电信凭证不再信任,民众若使用Firefox浏览中华电信凭证的政府网站将无法正常浏览。
数发部解释,Firefox是针对中华电信旧版ePKI根凭证所作的信任设定调整,中华电信在今年3月中,已以新的HiPKI根凭证签发网路凭证,因此民众用Firefox浏览政府机关网站不会受到影响。