吳明宜Google 表示,由於多次未遵循規定及不加改善,Chrome 將從 8 月起不再信任中華電信及匈牙利電信業者 Netlock 簽發的 CA 根憑證。
Google 公告指出,基於過去一年令人憂心的行為狀態,Chrome 對 Chrome Root Store 由兩家電信業者簽發的憑證已經不具信心。 Google 預計這項變更將自 8 月 1 日發表的 Google Chrome 139 版開始實行。
Chrome Root Store 是 Google 維護的信賴憑證機構 (certificate authority, CA) 的一組名單,是 Chrome 使用者驗證 HTTPS 連線安全性的依據。
今年 3 月,Google 對所有發放 HTTP/TLS 憑證的 CA 宣佈新安全要求,目的為強化安全標準,因而鞭策所有 CA 滿足遵循要求。二家業者未能在 Google 要求的時間期限內,完成所有 Chrome 新政策要求的程序,導致 Google Chrome 決定終止信任。
從今年 8 月 1 日起,當 Chrome 用戶連上使用中華電信或 Netlock 簽發的憑證的網站時,Chrome 都會顯示「你的連線可能公開」的警告訊息,暗示攻擊者可能竊取使用者連線的資訊。雖然用戶還是可以略過警示造訪網站,卻嚴重影響使用體驗,而且也會引發用戶的安全疑慮,衝擊網站信譽。
另一方面,Google 表示網站站長可以用「本地信任 (locally trusted)」的方式安裝這些根憑證,蓋掉 Google Chrome 的信任變更。
不過媒體建議,網站站長或管理員應該立即行動,改換成受信賴的 CA 。雖然兩家電信業者簽發的憑證在 2025 年 7 月 31 日前依然受信任,但建議企業和網站不要視若無睹。
雖然 Chrome 的行動不影響 Edge 、 Mozilla 或 Safari 用戶,但以市佔率而言,Chrome 是一個市佔率超過 65% 的瀏覽器,將導致極大負面影響,更別說其他瀏覽器業者可能跟進。
中華電信也出面解釋,中華電信憑證被 Chrome Root Store 移除的原因,絕非是因憑證存在漏洞或私鑰洩漏。中華電信經營及其受委託營運的公開服務憑證管理中心,完全遵守且符合電子簽章法的規範,並皆通過 WebTrust for CA 及 ISO 27001 等國際標準外部稽核與驗證,所提供的數位簽章都具有法律效力。中華電信說會積極爭取 Chrome 的預設信任,並預期在 2026 年 3 月完成。
去年 Google 11 月也對另一家憑證發放業者 Entrust 做出類似處置。當時 Google 的理由是 Entrust 涉入多起公開的資安事件,顯然從 2018 年起該公司已無法滿足產業遵循及安全標準,且無法有效改善。
來源:BleepingComputer 、中華電信