全球市佔率最高的Google Chrome瀏覽器昨(2)日宣布,將停止預設信任中華電信自8月起發佈的新 TLS 伺服器驗證憑證,引起熱議。雖然中華電信也以4點聲明反擊,強調自身憑證安全無虞,請所有民眾放心,但整體仍對中華電信形象造成衝擊。
對此,一名熟悉政府資安政策的資安領域高階研究專家接受《信傳媒》電訪時解釋,此次中華電信遭Chrome「撤信」主因在於憑證格式更新落後,已不符最新瀏覽器政策要求,屬於「相容性問題」;但他也直言,這類情況並不常見,儘管中華電信強調安全性未受影響,但著實需要改進檢討,畢竟其他本土機構都做到了。
至於政府網站是否會受到影響,專家指出,政府早於3月起改用另一家國內憑證機構(TWCA)並行發證,確保8月後政府網站仍可正常運作。
何為憑證?資安專家解釋,憑證就像網站的「身份證」。當讀者造訪一個網站時,瀏覽器無法單靠網站本身判斷其真偽,因此需要由具公信力的第三方憑證機構(如中華電信或TWCA)簽發數位憑證,來驗證該網站的真實身份。
以信傳媒為例,若網站聲稱自己是「信傳媒」,但無法出示由可信機構簽發的憑證,瀏覽器就會跳出「連線不安全」的警示畫面,提醒使用者可能有資安風險。因此,憑證的存在是保障網路通訊安全、建立使用者信任的關鍵基礎。
資安出現大問題?專家點出包的是格式問題:更新太慢
專家指出,根憑證(root certificate)是一切憑證的基礎。對於憑證中心最主要的要求有2項,第一,用最高等級的實體安全及資安保護確實保管好根憑證及簽發憑證的私鑰(private key);第二,確實做好申請者的實名認證以避免偽冒。
他表示,據中華電信憑證中心所說,他們已經通過國際組織Webtrust 稽核,上述兩項重點應該不會太嚴重的疏漏;因此,Google認為中華電信的管控流程不夠嚴謹的原因,應該是管理上的細節。
專家也進一步提及,google其實並未提及中華電信的任何憑證有安全問題,只是有格式需要改善,屬於相容性問題,並未有安全性風險,但因為長期未改善,才進而採取行動,取消信任。
至於有業界人士推測,可能與政府相關行政命令法規的更新與民間與政府單位的憑證更換尚未完成有關,該專家則不置可否。就他了解,中華電信是在憑證上的相容性出問題,「技術一直在演進,格式更新得太慢」。
坦言中華電信應努力,政府只好改採TWCA:網站不受影響
中華電信不只是商業公司,它還是政府資訊基礎建設的重要承包者。該專家透漏,基本上數發部幾個月前就已知道Google對中華電信憑證發放與管理流程不太滿意,所以3月就開始採用TWCA的憑證並行使用,也持續要求中華電信儘速改善。
專家科普說,中華電信發行憑證主要是公共服務;至於民營的企業、銀行等網站憑證主要是採用由TWCA發行之憑證為多數,因此市面上,TWCA市佔率也達8成左右,甚至連報稅也是採用TWCA。
根據數發部2號晚間發布之新聞稿,數發部提早在今年3月起就推動「雙憑證機制」,也就是政府網站同時使用另一家國內受信任憑證機構(TWCA)的憑證,以便瀏覽器不信任中華電信憑證時可自動切換。
專家說明,簡言之,Google對中華電信8月以後發行的憑證就不認了,「但之前發的都還是認」,而從三月開始,相關政府需要若憑證需要更新,都開始會申請TWCA的,因此並不會影響政府網站相關運作。
不過,專家也坦言,像中華電信這種情況其實很少發生,並不常見,中華電信真的必須要檢討改善,畢竟經營20幾年的TWCA做得到,中華電信也應該要做到,「要努力啦」。
