Google撤銷中華電信信任憑證 數發部：作業機制處理不當

數位發展部今天舉行上任周年記者會，部長黃彥男和數發部數位政府司司長王誠明首度回應Google移除中華電信憑證信任事件，除強調數發部年初就掌握到這個資訊，並認為是中華電信管理與作業面機制處理不當，並非技術標準問題，王誠明更強調，「這不是資安議題」。

Google宣布，Chrome將從2025年8月1日起，不再信任中華電信和NetLock頒發的TLS憑證。

中華電信2日晚間就發出四大聲明，其中一點解釋被移除原因，是「部分程序未能在Chrome新政策要求的時限內調整完成，雖日前中華電信已完成調整且全數符合Chrome新政策要求，遺憾的是，Google Chrome仍決定先移除預設信任，移除的原因絕非是因憑證存在漏洞或私鑰洩漏，中華電信仍會積極爭取Chrome的預設信任，並預期在2026年3月完成」。

王誠明今天再指出，年初就已經掌握到Google移除中華電信憑證信任事件，但當時Google還沒有很明確決定把中華電信從信任清單中移除掉，不過，當時數發部認為「如果真的被移掉，對政府機關網站影響較大」，所以當下決定採用「雙憑證」備援機制，確保還有另一個憑證可以使用，因此，3月起就已提前採用雙憑證備援機制來因應。

數位發展部2日晚間就發布聲明表示，為因應 Google宣布自114年8月1日起，最新版Chrome瀏覽器將停止信任後續中華電信所簽發之傳輸層安全通訊協定(TLS)憑證，政府之前已掌握相關情資，並超前部署全面應變措施。

王誠明強調，Google之所以不信任中華電信的憑證，並非資安技術或標準問題，「TLS憑證的標準和國際一致，沒有安全方面的問題，主要是中華電信在管理和作業面的機制沒有處理好，所以Google才強調他們在管理和作業回覆上沒有很好，才會造成這樣的不信任」，中華電信也回覆說會努力爭取讓Google在明年3月重新取得信任，數發部與中華電信只是委外契約關係，但後續如果憑證無法發，現在的雙憑證也能因應，所以「這不是資安議題」。

王誠明說，數發部有做備援，已啟動政府網站雙憑證機制，採用台灣本土憑證機構所簽發的憑證，會確保政府網站在各主流瀏覽器上皆能持續安全運作，保障民眾瀏覽體驗不中斷，維持公共數位服務的穩定性與可信度。

根據Google 公告內容，本次信任政策變動是針對114年8月1日之後簽發的新憑證，因此之前由政府 TLS 憑證中心（GTLSCA）所簽發的網站憑證，在1年效期內仍可正常使用，並未受到此次變動的直接影響。

因此民眾目前透過Chrome瀏覽各政府網站時，依然能獲得完整的安全連線保護，無須擔憂網站遭瀏覽器警示或顯示異常。

數發部表示，為強化整體網站服務的持續性與國際信任相容性，今年3月起已陸續導入符合公開信任根憑證標準的本土憑證機構，確保即使原有憑證於特定瀏覽器環境中遭到撤除信任，亦能無縫切換至受信任之替代憑證。

同時，數發部已提供技術支援與作業指引，協助各政府機關完成系統設定與相容性檢測，避免因技術落差導致服務中斷或民眾誤解，進一步鞏固整體政府數位治理的信任基礎。

數發部強調，面對全球瀏覽器信任政策的快速變動，政府秉持謹慎務實態度，已於變動生效前即主動因應並規劃周延配套，展現對數位公共服務不中斷的堅定承諾。數發部將持續精進憑證政策與技術實作，強化政府網站在資訊安全、跨平臺支援與國際接軌等面向的能力，確保民眾無論身處何種數位環境，都能安心使用政府數位服務，享有穩定、便捷且值得信賴的數位體驗。