中华电信董事长简志诚,图为示意图,并非今日活动照片。
中华电信
6月初中华电信TLS网站凭证因改善不合规,遭Google宣布将从Chrome 139之后浏览器开始,移除信任中华电信从8月起签发的TLS新凭证,受影响的中华电信TLS凭证包括商业及政府机关网站。中华电信今天(6/17)首次对外公开说明,目前正协助客户更换凭证,受影响政府网站预期在7月底完成凭证更新或转换为双凭证,并祭出改进作为,包括8月起暂停签发凭证、重整内部凭证管理团队、加强自动化检查凭证,避免人为疏失等等,希望在2026年3月回新回到Chrome预设信任凭证为目标。
中华电信董事长简志诚对外公开说明,他表示,浏览器改版有时可能会变更栏位,去年3月中华电信凭证维运团队对改版后的栏位变更敏感不足,团队配合改版调整栏位的时效性不够快,去年无法配合时程,导致中华电信维运团队的行为在Bugzilla社群论坛不被信任,今年2、3月公司内高阶主管了解这件事立即从手改善,尽管中华电信已经完成改善,但Google仍基于先前团队的不合规纪录,决定自8月起移除Chrome浏览器对中华电信新TLS凭证的预设信任。
中华电信以往不合规纪录引发论坛不满
依据中华电信的补充资料说明,其凭证被撤除信任的原因为,其团队没有即时掌握落实的调整,例如2023年9月15日生效的BR,要求修改延伸用途栏位EKU的标注内容,因其团队没有即时掌握和执行,致使部分凭证的格式EKU不符规定,其他疏失还有包括机关代号、地址栏位的编码不符规定等。
此外,中华电信团队先前以窒难行为由,没有即时向上通报,快速处理,例如依规定,对于Bugzilla论坛上社群的询问,CA业者需在72小时内回应,但中华电信以和凭证客户的合约,需得到客户的审查才能回应论坛提问,致使无法来得及在72小时内回应,过慢的回应引发论坛上的不满。
其次是,CA业者依规定需定期提交合规文件,但是中华电信以团队正值更替、交接不完整,致使承接的团队没能在规定时限内提交。
上述2024年中华电信凭证团队的不合规事件,中华电信表示,虽然督导凭证团队的主管在接到通报,立即与Google沟通提出改善计划,Google肯定其改善计划,但仍决定采取措施先保护Chrome使用者安全为优先,决定移除Chrome对中华电信新凭证的信任,中华电信仍可重新申请加入浏览器信任。
简志诚指出,虽然可以重新申请,后续需要经过第三方检视中华电信内部凭证维运的流程、文件,经过严格检视后发给证明,加上文件才能重新向Google Chrome申请信任凭证。目前将以2026年3月争取回复浏览器预设信任凭证为目标。至于中华电信能否如期于明年3月重新回复Chrome凭证信任清单,外界认为时程可能过于乐观,他表示,中华电信将积极争取2026年3月重新回到Chrome的凭证信任清单,对于万一来不及达成该目标,内部已有备用计划方案,但目前不便对外透露。
他表示,自Google宣布Chrome新的调整后,中华电信已盘点凭证客户,一方面协助客户提前更新凭证降低影响,对于不想更新中华电信TLS凭证的客户,中华电信协助转换到其他被信任业者的凭证,如台湾网路认证或国外业者的凭证。目前使用中华电信TLS凭证的商业网站约2千个,政府网站约8千多个,目前协助客户更新或转换凭证的进度已完成约95%以上,预期7月底百分百完成。
简志诚认为,全球约有40亿个网站,台湾有约40万个网站,而使用中华电信TLS网站凭证,商业及政府机关合计约1万,中华电信TLS网站凭证被Google Chrome移除预设信任,加上中华电信协助客户处理凭证问题,降低Chrome移除中华电信新凭证预设信任的影响。他认为「影响是微乎其微」。
尽管中华电信说明,此次凭证事件并非技术或是资安漏洞,受影响网站在国内网站数量的占比并不高,且在中华电信积极协助客户处理之下,影响可能「微乎其微」,但是其客户使用的凭证如果到期,将导致Chrome使用者无法正常浏览商业网站,甚至是8千多个政府机关网站,可能导致民众的不便,为此,数发部先前已表示在获得情资后,已提前在今年3月展开因应,推动政府机关使用双凭证机制。
重整凭证团队、加强事件应变
这次事件,简志诚坦言,中华电信凭证团队确实有疏失,内部检讨后提出改善作法,希望重新争取列入Chrome浏览器信任清单中,并避免再次重蹈履辙。
除了自8月起暂停签发新的TLS凭证,协助客户处理凭证换发,争取明年回复Chrome浏览器预设信任清单之外。
该公司重整凭证团队的组织调整,他们将原本独立维运的商业及政府凭证团队整合为一支团队,由一直遵循合规要求、经验丰富的商业凭证团队主管带领,统一技术标准与合规流程,改善原本内部团队沟通不良的问题。
经此教训后,该公司内部成立专责单位,成立跨部门专案小组,导入敏捷管理工具,每周追踪改善进度。
中华电信也加强论坛社群的合规要求,针对先前因为回应过慢引发论坛不满的问题,中华电信将强化事件应变机制,建立事件应变的SOP,要求在4小时内召开会议,72小时内提交报告,1个月内结案。此外,中华也将建立合规监控制度,每季召开法规监控会议,追踪文件到系统端的合规要求落实,建重拾信任,向主管机关及Google回报成果,展现其改进的决心。
另外,该公司也计划导入自动化检查工具,例如在中华电信及客户两端导入ACME,为了避免单层审查机制的错漏,将建立双层(Double Check)的凭证格式审查机制。
尽管中华电信提出上述种种改进,试图强化、提高内部对事件应变的速度及效率,但中华电信凭证客户最多的是政府机关,先前凭证团队就以依合约需经客户审查才能回应论坛回应而引发不满,尽管中华电信强化内部应变,若政府机关客户无法配合加快审查,仍可能导致无法在时限内回应论坛提问,对此,中华电信仅表示,在这次事件之后将会加强和政府机关客户的沟通,设法加快回应。