i卡會員

Google日前宣布八月一日起，最新版Chrome瀏覽器將停止信任後續中華電信簽發的傳輸層安全通訊協定（ＴＬＳ）憑證，熟悉中華電信作業人士說，中華電信承作該業務逾廿年，卻出現內部作業流程與稽核制度等問題，恐涉及內部組織、管理層系統性監理失能等結構性問題。

Google發言人表示，保障使用者安全一直是Google Chrome的首要任務。由於過去一年觀察到某些令人產生疑慮的行為模式，在與中華電信溝通後，公司採取了保護Chrome使用者安全的應對措施，取消對中華電信新核發憑證的預設信任作為。Google會持續和中華電信探討能確保使用者安全的解決方案。

數位發展部昨天說，後續會將透過契約關係督促中華電信改善。政府網站已啟動雙憑證機制，網站憑證將不會有異常中斷情況發生，自然就不存在資安上的疑慮。

針對此事件，中華電信指出，遭Google撤銷信任並非駭客入侵或憑證洩露等典型資安事件，而是「作業面錯誤」所致。

資安專家指出，中華電信是全台最大電信商，發行ＴＬＳ憑證已有廿年以上的歷史，熟知規範與稽核時程理應是基本功，為何連最基本的合規作業都未做到？資安問題不僅止於技術缺陷，更關鍵的是作業面與制度面的控管疏失，技術問題反而容易解決，這種作業面問題其實風險更大。

目前全台具公開簽發憑證機構資格的僅有中華電信與台灣網路認證公司，資安專家說，當其中一家遭遇信任危機，用戶雖可向另一家國內憑證頒發機構（ＣＡ）或採用國際憑證，使用者選擇國外憑證時若發生爭議，國內主管機關難以介入處理。