中華電信：Chrome憑證撤信受影響政府機關網站7月底可望全面完成憑證更換，將強化內部憑證管理明年重拾Chrome信任

6月初中華電信TLS網站憑證因改善不合規，遭Google宣布將從Chrome 139之後瀏覽器開始，移除信任中華電信從8月起簽發的TLS新憑證，受影響的中華電信TLS憑證包括商業及政府機關網站。中華電信今天（6/17）首次對外公開說明，目前正協助客戶更換憑證，受影響政府網站預期在7月底完成憑證更新或轉換為雙憑證，並祭出改進作為，包括8月起暫停簽發憑證、重整內部憑證管理團隊、加強自動化檢查憑證，避免人為疏失等等，希望在2026年3月重新獲得Chrome預設信任憑證為目標。

中華電信董事長簡志誠對外公開說明，他表示，瀏覽器改版有時可能會變更欄位，去年3月中華電信憑證維運團隊對改版後的欄位變更敏感不足，團隊配合改版調整欄位的時效性不夠快，去年無法配合時程，導致中華電信維運團隊的行為在Bugzilla社群論壇不被信任，今年2、3月公司內高階主管瞭解這件事立即從手改善，儘管中華電信已經完成改善，但Google仍基於先前團隊的不合規紀錄，決定自8月起移除Chrome瀏覽器對中華電信新TLS憑證的預設信任。

中華電信以往不合規紀錄引發論壇不滿

依據中華電信的補充資料說明，其憑證被撤除信任的原因為，其團隊沒有即時掌握落實的調整，例如2023年9月15日生效的BR，要求修改延伸用途欄位EKU的標註內容，因其團隊沒有即時掌握和執行，致使部分憑證的格式EKU不符規定，其他疏失還有包括機關代號、地址欄位的編碼不符規定等。

此外，中華電信團隊先前以窒礙難行為由，沒有即時向上通報，快速處理，例如依規定，對於Bugzilla論壇上社群的詢問，CA業者需在72小時內回應，但中華電信以和憑證客戶的合約，需得到客戶的審查才能回應論壇提問，致使無法來得及在72小時內回應，過慢的回應引發論壇上的不滿。

其次是，CA業者依規定需定期提交合規文件，但是中華電信以團隊正值更替、交接不完整，致使承接的團隊沒能在規定時限內提交。

上述2024年中華電信憑證團隊的不合規事件，中華電信表示，雖然督導憑證團隊的主管在接到通報，立即與Google溝通提出改善計畫，Google肯定其改善計畫，但仍決定採取措施先保護Chrome使用者安全為優先，決定移除Chrome對中華電信新憑證的信任，中華電信仍可重新申請加入瀏覽器信任。

簡志誠指出，雖然可以重新申請，後續需要經過第三方檢視中華電信內部憑證維運的流程、文件，經過嚴格檢視後發給證明，加上文件才能重新向Google Chrome申請信任憑證。目前將以2026年3月爭取回復瀏覽器預設信任憑證為目標。至於中華電信能否如期於明年3月重新回復Chrome憑證信任清單，外界認為時程可能過於樂觀，他表示，中華電信將積極爭取2026年3月重新回到Chrome的憑證信任清單，對於萬一來不及達成該目標，內部已有備用計畫方案，但目前不便對外透露。

他表示，自Google宣布Chrome新的調整後，中華電信已盤點憑證客戶，一方面協助客戶提前更新憑證降低影響，對於不想更新中華電信TLS憑證的客戶，中華電信協助轉換到其他被信任業者的憑證，如台灣網路認證或國外業者的憑證。目前使用中華電信TLS憑證的商業網站約2千個，政府網站約8千多個，目前協助客戶更新或轉換憑證的進度已完成約95%以上，預期7月底百分百完成。

簡志誠認為，全球約有40億個網站，台灣有約40萬個網站，而使用中華電信TLS網站憑證，商業及政府機關合計約1萬，中華電信TLS網站憑證被Google Chrome移除預設信任，加上中華電信協助客戶處理憑證問題，降低Chrome移除中華電信新憑證預設信任的影響。他認為「影響是微乎其微」。

儘管中華電信說明，此次憑證事件並非技術或是資安漏洞，受影響網站在國內網站數量的占比並不高，且在中華電信積極協助客戶處理之下，影響可能「微乎其微」，但是其客戶使用的憑證如果到期，將導致Chrome使用者無法正常瀏覽商業網站，甚至是8千多個政府機關網站，可能導致民眾的不便，為此，數發部先前已表示在獲得情資後，已提前在今年3月展開因應，推動政府機關使用雙憑證機制。

重整憑證團隊、加強事件應變

這次事件，簡志誠坦言，中華電信憑證團隊確實有疏失，內部檢討後提出改善作法，希望重新爭取列入Chrome瀏覽器信任清單中，並避免再次重蹈履轍。

除了自8月起暫停簽發新的TLS憑證，協助客戶處理憑證換發，爭取明年回復Chrome瀏覽器預設信任清單之外。

該公司重整憑證團隊的組織調整，他們將原本獨立維運的商業及政府憑證團隊整合為一支團隊，由一直遵循合規要求、經驗豐富的商業憑證團隊主管帶領，統一技術標準與合規流程，改善原本內部團隊溝通不良的問題。

經此教訓後，該公司內部成立專責單位，成立跨部門專案小組，導入敏捷管理工具，每周追蹤改善進度。

中華電信也加強論壇社群的合規要求，針對先前因為回應過慢引發論壇不滿的問題，中華電信將強化事件應變機制，建立事件應變的SOP，要求在4小時內召開會議，72小時內提交報告，1個月內結案。此外，中華也將建立合規監控制度，每季召開法規監控會議，追蹤文件到系統端的合規要求落實，建重拾信任，向主管機關及Google回報成果，展現其改進的決心。

另外，該公司也計畫導入自動化檢查工具，例如在中華電信及客戶兩端導入ACME，為了避免單層審查機制的錯漏，將建立雙層（Double Check）的憑證格式審查機制。

儘管中華電信提出上述種種改進，試圖強化、提高內部對事件應變的速度及效率，但中華電信憑證客戶最多的是政府機關，先前憑證團隊就以依合約需經客戶審查才能回應論壇回應而引發不滿，儘管中華電信強化內部應變，若政府機關客戶無法配合加快審查，仍可能導致無法在時限內回應論壇提問，對此，中華電信僅表示，在這次事件之後將會加強和政府機關客戶的溝通，設法加快回應。