中華電信因憑證發行問題被 Google 撤銷信任,導致政府網站可能被標記為「不安全」,影響民眾信任。
最近在台灣網路圈引起不小震撼的消息,就是中華電信的憑證被Google Chrome撤銷信任,而這件事很可能導致很多政府網站在未來被瀏覽器標記為「不安全」。說實在的,這不只是技術人的事,對我們一般民眾也是影響很大!
先簡單講一下什麼是「憑證」。現在大家上網,像是登入健保快易通、報稅系統、查詢公家機關資料,其實背後都有用到 SSL 憑證,也就是大家熟知的「https」,讓你跟網站的連線是加密的,避免資料被偷走。而這些憑證,必須要由全球信任的機構來發行,瀏覽器才會信任。
問題就出在這裡——**中華電信旗下的 HiPKI 憑證機構,被Google認定在憑證管理上有問題,像是發錯憑證、審核不確實等,嚴重違反憑證發行規範。**結果,Google決定從Chrome版本127開始不再信任HiPKI的憑證。
這會造成什麼影響呢?只要有使用HiPKI憑證的網站(尤其是政府單位),當民眾用Chrome上去時,可能會直接跳出警告:「此網站不安全」,或是連根本就打不開。對一般人來說,看見這種警告,第一個反應當然是怕中毒或被詐騙,然後就不敢再用了。
這樣不只傷害民眾對政府網站的信任,也會讓很多人辦事情變得更困難。想想看,報稅期間打不開財政部網站、申請補助點進去被說不安全,這誰受得了?
目前中華電信已經出面表示會配合政府及Google要求,逐步轉移到被信任的替代憑證機構。不過問題是,台灣不少公部門的網站還是綁定舊有的HiPKI憑證,如果沒有及時更新,民眾在使用上就會遇到很多麻煩。
這起事件同時暴露了另一層問題:政府機關在資安應變上的速度仍偏慢。過於僵硬的流程,使得問題從發現到修正往往拉得太長,結果直接影響民眾的使用體驗與信任感。尤其是這種牽涉到民眾日常生活、甚至是隱私安全的憑證問題,更應該要提早布局、快速應對。
最後提醒大家,如果真的遇到網站跳出「不安全」的警告,先不要慌,確認網站網址沒打錯,再看是不是官方網站。建議可以改用Firefox或Safari試試,但長遠來說,還是要等政府單位把憑證問題處理好,才是真正的解方。
