中華電信遭撤信 20年CA老手為何作業崩盤？

中華電信遭Google移除Chrome預設信任，據熟悉中華電信作業人士指出，中華電信承作這項業務20年，卻在此時出現內部作業流程與稽核制度出問題，恐涉及內部組織、管理層系統性監理失能等結構性問題。

針對此事件，中華電信及數位發展部近日聲明均表示，遭撤信並非駭客入侵或憑證洩露等典型資安事件，而是「作業面錯誤」所致。

Google近日宣布，自今年8月1日起暫停信任中華電信頒發的TLS憑證。此一消息震驚國內資安圈，也引發企業網站端的潛在信任危機。

根據Google發布的公告，中華電信遭遇此舉並非單一偶發，而是多起作業疏失累積所致。最引發爭議的是其對業界最低標準的忽視。根據公開紀錄，2023年9月生效的CA/B Forum的基本準則已明確規定，憑證中的擴展金鑰用途（EKU）欄位不得標記為重大關鍵（critical），但中華電信旗下的GTLS CA卻未能遵循，長達半年錯誤地標記為重大關鍵，並持續簽發憑證，累積近7000筆。違規事由包含未按時提交審計報告、憑證資訊揭露不足，以及對外回應不透明等，最終導致Google決定從Chrome瀏覽器的信任清單中移除其根憑證。

對此，熟悉內情人士指出，中華電信作為全台最大電信商，發行TLS憑證已有20年以上的歷史，熟知規範與稽核時程理應是基本功，為何連最基本的合規作業都未做到？資安問題不僅止於技術缺陷，更關鍵的是作業面與制度面的控管疏失。技術問題反而容易解決，這種作業面問題其實風險更大。

而目前台灣具有公開簽發憑證機構資格的僅有中華電信與台灣網路認證公司。資安專家指出，當其中一家遭遇信任危機，用戶雖可轉向另一家國內憑證頒發機構（CA）或採用國際憑證，但若使用者選擇國外憑證，一旦發生爭議，國內主管機關難以介入處理。

知情人士也說，這次中華電信遭Google撤銷信任，對其商譽影響甚鉅，但憑證業務在公司整體營運中占比極小，是否獲得足夠重視，將取決於外界壓力與輿論監督。對此，中華電信3日晚間發布聲明，強調將主動聯繫所有憑證客戶，協助更換憑證。