Google Chrome 不再信任中華電信與 Netlock 根憑證
Google 宣布自 Chrome 139 版(預計 2025 年 8 月 1 日發布)起,將不再信任由中華電信與 Netlock 簽發的根憑證,原因為兩家憑證機構(CA)持續違反合規要求、未能兌現改善承諾,且缺乏顯著進展。根據《The Register》與《BleepingComputer》報導,Google 表示:「過去一年觀察到的行為模式顯示 Chunghwa Telecom 與 Netlock 的可靠性下降,損害其作為 Chrome 根憑證儲存庫中公開信任 CA 的誠信。」此變更將影響使用這些 CA 憑證的網站,Chrome 用戶造訪時將收到「您的連線不是私密的」警告,破壞瀏覽體驗。
相關新聞及文章 : Google 警告 18 億 Gmail 用戶:小心「無回覆」詐騙攻擊,切勿回應訊息
影響範圍
中華電信是台灣最大的電信供應商,運營 ePKI 與 HiPKI 公開憑證機構,廣泛用於台灣的政府、企業與網站的數位憑證。Netlock 則是匈牙利主要的數位憑證提供者,其 Arany(金級)根憑證在匈牙利及歐洲其他地區的網站與電子簽章服務中廣泛應用。此變更將導致使用這些憑證的網站在 Chrome(全球市占率約 65%)上顯示安全警告,影響用戶信任與流量。
合規失敗與信任危機
Google 列舉 Chunghwa Telecom 與 Netlock 的問題包括:
持續合規失敗:兩家 CA 未遵循憑證頒發與管理的業界標準,類似 2024 年 Entrust 的案例。
未能兌現承諾:未按承諾改善憑證管理流程,缺乏透明度。
無顯著進展:未展示可量化的安全或合規改進。
Google 自 2025 年 3 月宣布新的 CA 安全要求後,對公開信任憑證的合規標準更加嚴格。此次行動顯示 Google 對 CA 的高標準。
中華電信發表聲明
針對此事,中華電信已緊急發表聲明,坦承部分程序未能及時調整,導致 Google 決定移除其憑證的預設信任,但強調憑證本身並無安全漏洞或私鑰洩漏,且其憑證仍符合《電子簽章法》及通過 WebTrust for CA、ISO 27001 等國際標準驗證,具有法律效力,並且未影響現有憑證在政府、金融、證券及數位簽章等領域的正常使用。
中華電信表示已完成所有必要調整改進,並積極爭取於 2026 年 3 月重新獲得 Chrome 的預設信任。此外,數位發展部也表示這是中華電信的作業機制處理不當問題,並非資安技術問題,強調此事件不涉及安全漏洞。
影響與後果:網站需立即更換憑證
自 2025 年 8 月 1 日起,Chrome 將對使用 Chunghwa Telecom 或 Netlock 根憑證的網站顯示「NET::ERR_CERT_AUTHORITY_INVALID」警告,提示用戶連線不安全。雖然用戶可點擊「進階」繼續造訪,但此警告將降低網站可信度,影響流量與轉換率。對企業而言,內部系統若依賴這些憑證,可能需手動安裝根憑證至本機信任儲存庫,但 Google 不建議長期依賴此方法。值得注意的是,Microsoft Edge、Mozilla Firefox 與 Apple Safari 使用不同信任儲存庫,暫不受影響。
如果喜歡這篇文章,並想了解更多限時免費、科技新聞、 Apple 資訊,以及 AI 、 WordPress 教學與資源分享,歡迎追蹤我的 FB專頁 、 Instagram 、 Threads 和 X !後續將會有更多實用教學與文章和大家分享。
你的一個 Like 或 追蹤 ,對我來說都是莫大的鼓勵,也會激勵我持續創作更多優質內容。感謝你們的支持!