簡志誠提出8大改善作為 拚明年3月重返Google預設信任清單
〔記者王憶紅/台北報導〕搜尋引擎Google日前撤銷中華電信的憑證信任,引發市場熱議。中華電信董事長簡志誠昨首度對外公開致歉,並強調已做出八大具體改善作為,目標是明年三月重返Google預設信任清單。
萬張憑證 預計下月底全面換發
據了解,中華電信已對CA(憑證機構)團隊成員做出記過、申誡處分,在主管監督不周下,中華電信資訊技術分公司總經理遭記過,此為中華電信歷年罕見的嚴厲處分。
簡志誠說,已全面協助政府、企業客戶提前完成憑證換發,超過九十五.四%已完成憑證更新或轉換為雙憑證,預計七月底前全數完成;民眾使用Google Chrome瀏覽政府網站、銀行網站、學校系統等,與過往一樣,不會出現任何警示或錯誤訊息。他強調,此事沒有涉及資安、國安等議題。
簡志誠說明,中華電信核發的TLS(Transport Layer Security)網站憑證約一萬張,其中企業客戶約二千張、政府客戶八千張,因負責政府客戶的團隊成員更替、未完整交接,造成新團隊成員對新生效的憑證基準規劃未即時掌握與落實,且未依照「信任根憑證計畫」運作規範確實執行,更未在規定時限內提交自評報告,導致Google取消對中華電信新核發憑證的預設信任。
他解釋,二○二四年發生幾項不合規事項後,督導憑證團隊主管接獲通報,立即率隊與Google溝通並提出改善計畫,Google團隊雖肯定中華電信的改善計畫,但因中華電信的不合規已在網路公開,在一視同仁下,才取消中華電信新核發憑證的預設信任。
重整CA團隊 強化事件應變機制
簡志誠指出,目前除停止簽發新憑證、全面協助憑證換發外,已做出重整CA團隊組織架構、成立專責改善團隊、強化事件應變機制、建立合規監控制度、導入自動化檢查與重視相關論壇評論等八大改善作為,規劃明年重返Google Chrome預設信任清單,持續為台灣提供可信憑證服務。
一表看懂中華電信憑證事件》
發生了什麼事?
Google宣布8月起,最新版Chrome瀏覽器將停止信任中華電信簽發的TLS憑證;中華電信則強調,並非憑證存在漏洞或私鑰洩漏,也無資安疑慮,所有於7月31日前發行的憑證均不受影響,而這之後發行的憑證,受影響範圍僅限Chrome瀏覽器。
什麼是TLS協定?什麼是憑證機構?
台科大資安中心主任查士朝指出,TLS(傳輸層安全通訊協定)是在網路上建立一種「安全連線」的協定,若希望在網路上傳輸的內容不被竊取,網站會使用這種安全連線協定,以確保通訊安全(以免資料被竊取)、並確認通訊對象的身分(以免連到偽冒網站)。
CA(憑證機構)則是負責簽發憑證的第三方機構;查士朝說,CA會去確認網站申請者是否真為網站擁有者,確認後會發給憑證,這個憑證就像一張名片,上面記載網站資訊和擁有者相關資料,避免使用者連線到偽冒的網站。在此次案例中,中華電信就是所謂的CA。
對使用者有何影響?
對Chrome的使用者來說,若網站使用中華電信憑證,使用者8月起連到這些網站的過程中,可能會看到瀏覽器跳出警告,示警這是一個不安全的網站,建議不要前往,但使用者仍可以強制前往。
另,如果網站經營者未更換不被信任的CA,瀏覽器會將網站標示為不安全,這可能導致網站在搜尋結果中的排名下降,進而影響其流量和使用者造訪意願。
製表整理︰記者徐子苓
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法