1.媒體來源: 科技新報 2.記者署名: TN Choice 3.完整新聞標題: 中華電信憑證風波的資安真相：信任，不再只是技術問題 4.完整新聞內文: 2025 年 5 月底，Google 宣布自 8 月 1 日起，Chrome 瀏覽器將停止信任由中華電信 與 NetLock 所簽發的新 TLS 憑證，震撼台灣公私部門的資安圈 雖然中華電信強調其憑證本身並無技術漏洞，且已完成符合 Chrome 新政策的所有程序調 整，但 Google 的公告卻明確指出，關鍵在於「持續性的合規失誤」與「無法履行改進承 諾」。這場信任危機並非單一技術事件，而是對憑證管理、供應鏈信任與治理透明度的重 大提醒，CA（憑證機構）不只是技術單位，更是數位信任的守門人。 企業與政府單位若仍將資安問題簡化為「安全設定沒做好」、「技術不夠成熟」的工程問 題，將錯失真正該面對的核心風險：你的信任供應鏈是否健全？你的風險監控與回應流程 是否到位？你的憑證合作夥伴，是否具備持續受信任的能力？ 憑證不是萬靈丹，錯放信任反成資安破口 中華電信這次事件最值得討論的，其實不是為何被 Google 拔除信任，而是為何我們從未 設想信任憑證也有風險。多數企業與政府機關對 TLS 憑證的理解仍停留在反正有鎖就安 全、交給大廠就沒事的層級，對憑證的來源、合規性、治理機制與改進紀錄完全不了解。 事實上，憑證是一種被賦予信任的技術憑據，其價值建立在整個憑證機構的內控流程與稽 核透明度。 Google 根據自身 Root Program 政策，明確表示：一個 CA 若無法持續展現進步與治理 承諾，即使其憑證尚未發生技術性事故，也無法維持被預設信任的資格。這個標準不是針 對中華電信，而是對所有受信憑證機構的共同要求。從資安觀點來看，這代表我們不能只 把，是否加上 HTTPS，當作安全指標，而是要開始檢視，我們所依賴的每一個信任來源， 是否真正值得信任？ 資安治理不是「補技術缺口」，而是管理信任斷點 這次中華電信的風波也再次暴露出資安治理的長期盲點，多數單位並未建立一套，應對憑 證信任崩盤的替代機制與緊急應變流程。Google 雖表示舊憑證不受影響，但從 2025 年 8 月起，所有新憑證都將面臨在 Chrome 出現錯誤警示畫面的風險。對企業網站來說，這 將直接影響使用者信任、轉換率與 SEO 排名；對政府平台來說，更可能被民眾質疑是否 有資安能力，甚至引發社會恐慌。 面對這種信任風險，真正有準備的單位應該早已啟動雙憑證機制、評估供應商風險、建立 替代 CA 的切換機制，並且在憑證即將過期前完成替換與測試。更進一步，資安團隊應該 與法務、採購、品牌管理部門合作，建立憑證信任管理政策，從選擇、簽約、驗證到突發 事件通報都有完整規範。憑證不是靜態資產，而是一種需要被主動監控與動態管理的信任 系統。 資安信任危機，終將回到經營者的抉擇 Google 此次事件對台灣的震撼，遠超過技術範疇，它實際凸顯了企業與政府在數位治理 上必須面對的殘酷現實。也就是信任的失去，往往不是因為被駭，而是因為你沒做該做的 管理。當憑證的有效性變成一場，信任是否繼續的爭議，而非是否過期的技術問題時，誰 來負責這個決策？若答案仍是：「問資訊部門」，那麼這場危機也許只是開始。 資安信任不是靠一張 ISO 認證報告堆出來的，而是長期治理的成果累積。不論你是政府 單位還是電商平台，面對這次事件，你該問的問題是：如果你的憑證明天被撤銷，你的網 站能活下來嗎？用戶還會相信你嗎？ 從今天起，讓我們重新思考資安的本質：它不是單純裝上防火牆這麼簡單，而是每一層信 任的選擇與管理，更包含你選擇誰來頒發你的數位身分。 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://infosecu.technews.tw/2025/06/04/the-truth-about-the-security-of-chunghwa-telecoms-credentials/ https://reurl.cc/mxOy1W 6.備註: -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.23.191 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1749049243.A.0B8.html