中華電信憑證撤信事件，葛如鈞質疑若數發部推動的雙憑證機制無效，近半數部會仍用中華憑證恐引發信任危機

中華電信TLS憑證因不合規，而遭到Google宣布Crome將移除對中華電信8月後核發新憑證的信任，由於此事將影響政府機關網站，數發部與中華電信先前已啟動雙憑證機制，單一憑證不被瀏覽器信任，可切換到另一個憑證，確保網站可如常瀏覽。不過，立委葛如鈞今天(7/10)召開記者會質疑雙憑證機制無效，目前仍有近半的部會使用中華電信憑證之下，可能導致民眾無法如常瀏覽網站，造成信任危機。

對於中華電信TLS憑證遭Chrome撤信一事，先前數發部宣稱提前在3月掌握訊息並「超前部署」，與中華電信合作啟動政府網站的雙憑證機制，以確保政府機關網站不會因為單一憑證不被信任，而被國際上的主流瀏覽器拒之門外，導致民眾無法正常瀏覽政府機關網站。

葛如鈞表示，今年5月30日，Google及Mozilla宣布從8月起撤銷對中華電信TLS憑證的信任，不僅Chrome瀏覽器，Firefox更溯及至4月15日不信任，民眾進入這些使用被撤銷憑證的網站，看到「不安全」警示訊息，詐騙、釣魚網站更可能趁虛而入，幾乎政府網站都會受到影響。

儘管數發部宣稱已啟動政府機關使用雙憑證機制，中華電信也回覆，協助政府機關以中華電信及TWCA的雙憑證機制，但葛如鈞展示，通過瀏覽器操作設定「刪除或取消信任」，甚至是「編輯信任」的方式取消勾選對中華電信憑證的信任，模擬當中華電信憑證不被瀏覽器信任後的結果，無法正常瀏覽進入數發部、交通部等政府部會網站，畫面顯示具有安全性風險，他認為這代表政府雙憑證機制沒有設定好，中華電信的憑證一旦失效，這些政府網站也沒有自動切到TWCA，而是直接跳出資安警告畫面，等同宣告台灣在在數位世界，已經瀕臨「信任死亡」。

另外，交通部、農業部的憑證發行日期在4月15日之後，也將受到Firefox 更新的影響，民眾點入這兩個部會將看到驚嘆號、不安全網站的警告。他進一步質疑，中華電信及數發部如何保證民眾不受影響？Google全球資安團隊所提出的問題，「怎麼會不是資安問題呢？」。

在雙憑證機制無效的前題之下，葛如鈞指出，現有的31個政府部會，仍有14個使用中華電信的憑證，比例約45.1%，如果扣除改用國外CA核發憑證的3個部會，那麼比例高達50%，當這些政府部會的網站被標示具有安全疑慮，民眾不敢進入數發部、交通部等部會網站，可能成為資安、詐騙的大破口，葛如鈞重批這樣的資安政策，如何談及資安等於國安。

他認為，這起事件引起的信任危機不僅是政府機關，也外溢至民間產業，他已收到電商業者陳情，擔心消費者進入電商網站跳出安全疑慮訊息，導致信任危機、訂單流失，造成商譽受損。更換憑證需要時間及成本，還有技術支援，數發部不應將責任向外推。

葛如鈞要求數發部作到3點，首先是數發部作為主管機關，應全面清查行政院所屬三級以上政府機關網站，確保全面建置且具自動切換的雙憑證機制；其次是，修改電子簽章法以納入伺服器憑證規範，強化法制，明確化監管；最後是協助民間，數發部檢討憑證管理的問題及資安原因，並督促中華電信提出補救方案，協助受影響業者渡過事件。

專家：立委的雙憑證測試方式有限制性

針對立委的質疑，一位匿名的專家指出，立委如果是透過瀏覽器端手動修改對特定CA的憑證的信任鏈，那麼瀏覽其他使用特定CA憑證的網站也會出現無法正常瀏覽的情形，但如果該網站的伺服器已部署雙憑證機制，並且啟動自動切換至另一個憑證，那麼從瀏覽器修改憑證的信任鏈，理論上仍可通過另一個憑證繼續正常瀏覽網站，因此如果不能正常瀏覽網站，有幾個可能的原因，例如沒有部署雙憑證，或是部署雙憑證但還沒有啟用自動切換憑證的功能。

該專家表示，自中華電信憑證被Google Chrome撤信之後，數發部推動政府機關採用雙憑證機制以來，國內TWCA已配合政府發行憑證給政府機關，推動政府機關採用雙憑證機制，但關鍵點在於是否手動切換還是啟動自動切換，由於每張中華電信發出的TLS憑證效期為一年，發行的時間有早有晚，憑證效期到期的時間有長有短，政府機關雖部署雙憑證，但可能因為中華電信憑證仍在效期之內，在沒有明顯的迫切性之下，先維持手動切換憑證，當未來憑證效期即將到期才可能轉為自動切換，因此立委現階段操作測試，不一定能依此判斷雙憑證機制無效，可能是已部署雙憑證機制，但因為中華電信憑證還沒有到期，因此暫時為手動切換，因此該專家認為立委的測試方式所得出的結論有其限制性。對於各機關而言，憑證的切換方式、切換時機可能有各自的考量。

事實上，數發部今年6月初就對外宣布，在3月提前掌握到中華電信憑證撤信的風險，因此推動政府機關網站採用雙憑證機制，確保政府網站在主流瀏覽器上都能持續安全運作，民眾使用網站不受影響，但是僅強調推動導入雙憑證機制，並沒有說明各機關各政府機關網站的雙憑證已啟動自動切換憑證機制。

中華電信：已協助99.9%政府機關處理網站憑證問題

中華電信今天第一時間對外說明，中華電信董事長簡志誠親自對外說明，中華電信發的憑證是持續有效，不會過了7月31日之後就失效；其次是憑證為合法身分證，「這次事件無涉資安，乃至國安」。

從爆發憑證撤信事件至今，中華電信或簡志誠一直強調此次憑證撤信事件，並非憑證出現漏洞，而是內部的憑證管理疏失，但是國際上資安社群，早已不再將資安侷限於技術性的問題，有沒有出現漏洞，而是擴大到更大的資安治理、組織管理層面，中華電信一直對憑證撤信事件強調不是資安議題，也受到資安專家的詬病。

另外，簡志誠也對立委稱Mozilla也撤銷Firefox對中華電信TLS憑證信任一事，與事實不符。中華電信解釋，Mozilla從2023年9月宣佈，考量過舊根憑證不符合現今國際對根憑證的規範，因此對全球2006年以前發行的根憑證中心採取漸進式分批移除計畫，並只有中華電信，中華電信為全球CA業者之一，已於2024年配合完成更新，目前中華電信仍持續具有合法簽發Mozilla Firefox TLS網站憑證的權利。

面對立委質疑Chrome此次撤信措施，對政府機關網站可能引發的安全疑慮，簡志誠指出，針對1.1萬多個政府網站憑證，已重新發給憑證且憑證持續有效，目前已處理的機關網站已達到99.9%，僅剩7個網站在申請中。

對於立委展示網站使用中華電信憑證被移除後無法正常瀏覽的問題，簡志誠強調，中華電信目前的憑證持續有效，該展示直接將網站使用的有效憑證刪除，當然無法正常瀏覽網站是正常的，「這是個奇怪的展示」，簡志誠並指出，在數發部的支持下，現在已協助超過9成政府機關網站處理好問題，其中包括交通部、農業部網站，甚至數發部已啟動雙憑證機制。

他也強調，中華電信目前核發的憑證持續有效，並非過了7月31日之後憑證失效，對於立委的質疑，可能混淆視聽造成外界的疑慮。對於使用中華電信憑證的網站啟動雙憑證機制，以兩張憑證建立備援，並且自動切換，不會有一張憑證無法使用，就造成網站無法正常瀏覽的問題。

簡志誠也特別澄清，全球網站憑證核發共有67家，國內為中華電信及台網2家，網站憑證核發為商業機制，沒有涉及政府相關單位，台灣約有39.6萬個網站，中華電信僅發出2千多張商業憑證，中華電信已逐一與商業網站客戶聯絡並提供協助，目前已協助9成的客戶處理問題，更新憑證或協助客戶移轉到其他業者的憑證，目前剩餘的1成為申請憑證中。