[新聞] 中華電信憑證風波的資安真相:信任,不再只是技術問題

看板Gossiping作者 (桂)時間7月前 (2025/06/04 23:00), 編輯推噓16(22640)
留言68則, 42人參與, 7月前最新討論串1/1
1.媒體來源: 科技新報 2.記者署名: TN Choice 3.完整新聞標題: 中華電信憑證風波的資安真相:信任,不再只是技術問題 4.完整新聞內文: 2025 年 5 月底,Google 宣布自 8 月 1 日起,Chrome 瀏覽器將停止信任由中華電信 與 NetLock 所簽發的新 TLS 憑證,震撼台灣公私部門的資安圈 雖然中華電信強調其憑證本身並無技術漏洞,且已完成符合 Chrome 新政策的所有程序調 整,但 Google 的公告卻明確指出,關鍵在於「持續性的合規失誤」與「無法履行改進承 諾」。這場信任危機並非單一技術事件,而是對憑證管理、供應鏈信任與治理透明度的重 大提醒,CA(憑證機構)不只是技術單位,更是數位信任的守門人。 企業與政府單位若仍將資安問題簡化為「安全設定沒做好」、「技術不夠成熟」的工程問 題,將錯失真正該面對的核心風險:你的信任供應鏈是否健全?你的風險監控與回應流程 是否到位?你的憑證合作夥伴,是否具備持續受信任的能力? 憑證不是萬靈丹,錯放信任反成資安破口 中華電信這次事件最值得討論的,其實不是為何被 Google 拔除信任,而是為何我們從未 設想信任憑證也有風險。多數企業與政府機關對 TLS 憑證的理解仍停留在反正有鎖就安 全、交給大廠就沒事的層級,對憑證的來源、合規性、治理機制與改進紀錄完全不了解。 事實上,憑證是一種被賦予信任的技術憑據,其價值建立在整個憑證機構的內控流程與稽 核透明度。 Google 根據自身 Root Program 政策,明確表示:一個 CA 若無法持續展現進步與治理 承諾,即使其憑證尚未發生技術性事故,也無法維持被預設信任的資格。這個標準不是針 對中華電信,而是對所有受信憑證機構的共同要求。從資安觀點來看,這代表我們不能只 把,是否加上 HTTPS,當作安全指標,而是要開始檢視,我們所依賴的每一個信任來源, 是否真正值得信任? 資安治理不是「補技術缺口」,而是管理信任斷點 這次中華電信的風波也再次暴露出資安治理的長期盲點,多數單位並未建立一套,應對憑 證信任崩盤的替代機制與緊急應變流程。Google 雖表示舊憑證不受影響,但從 2025 年 8 月起,所有新憑證都將面臨在 Chrome 出現錯誤警示畫面的風險。對企業網站來說,這 將直接影響使用者信任、轉換率與 SEO 排名;對政府平台來說,更可能被民眾質疑是否 有資安能力,甚至引發社會恐慌。 面對這種信任風險,真正有準備的單位應該早已啟動雙憑證機制、評估供應商風險、建立 替代 CA 的切換機制,並且在憑證即將過期前完成替換與測試。更進一步,資安團隊應該 與法務、採購、品牌管理部門合作,建立憑證信任管理政策,從選擇、簽約、驗證到突發 事件通報都有完整規範。憑證不是靜態資產,而是一種需要被主動監控與動態管理的信任 系統。 資安信任危機,終將回到經營者的抉擇 Google 此次事件對台灣的震撼,遠超過技術範疇,它實際凸顯了企業與政府在數位治理 上必須面對的殘酷現實。也就是信任的失去,往往不是因為被駭,而是因為你沒做該做的 管理。當憑證的有效性變成一場,信任是否繼續的爭議,而非是否過期的技術問題時,誰 來負責這個決策?若答案仍是:「問資訊部門」,那麼這場危機也許只是開始。 資安信任不是靠一張 ISO 認證報告堆出來的,而是長期治理的成果累積。不論你是政府 單位還是電商平台,面對這次事件,你該問的問題是:如果你的憑證明天被撤銷,你的網 站能活下來嗎?用戶還會相信你嗎? 從今天起,讓我們重新思考資安的本質:它不是單純裝上防火牆這麼簡單,而是每一層信 任的選擇與管理,更包含你選擇誰來頒發你的數位身分。 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://infosecu.technews.tw/2025/06/04/the-truth-about-the-security-of-chunghwa-telecoms-credentials/ https://reurl.cc/mxOy1W 6.備註: -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.23.191 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1749049243.A.0B8.html
06/04 23:01, 7月前 , 1F
記者是吃到老黃口水了嗎
06/04 23:01, 1F
06/04 23:01, 7月前 , 2F
我信GOOGLE
06/04 23:01, 2F
06/04 23:01, 7月前 , 3F
最怕安卓也會跟著受影響
06/04 23:01, 3F
06/04 23:04, 7月前 , 4F
安卓預設瀏覽器會吧 為什麼不會
06/04 23:04, 4F
06/04 23:05, 7月前 , 5F
中共同路人+1
06/04 23:05, 5F
06/04 23:05, 7月前 , 6F
我愛中華我愛中華 ㄧ偶ㄧ偶 預備唱!
06/04 23:05, 6F
06/04 23:05, 7月前 , 7F
唐鳳 創世神 快出手呀
06/04 23:05, 7F
06/04 23:06, 7月前 , 8F
詐騙太多
06/04 23:06, 8F
06/04 23:06, 7月前 , 9F
畢竟是民進党 各種花式丟臉
06/04 23:06, 9F
06/04 23:07, 7月前 , 10F
快想想辦法啊啊啊啊啊啊啊!?
06/04 23:07, 10F
06/04 23:07, 7月前 , 11F
用中華的7月底前先去更新憑證 能再拖一年?
06/04 23:07, 11F
06/04 23:08, 7月前 , 12F
跟瀏覽器關係不大 是國內外要連國內網
06/04 23:08, 12F
06/04 23:08, 7月前 , 13F
頁都會顯示不安全連線 簡直開發國家
06/04 23:08, 13F
06/04 23:09, 7月前 , 14F
之恥 何況谷歌一年前就警示了 然後也
06/04 23:09, 14F
06/04 23:09, 7月前 , 15F
不只谷歌 火狐也正考慮停止中華電的
06/04 23:09, 15F
06/04 23:09, 7月前 , 16F
數發部?
06/04 23:09, 16F
06/04 23:10, 7月前 , 17F
這篇ChatGPT寫的吧 錯誤百出
06/04 23:10, 17F
06/04 23:10, 7月前 , 18F
信任憑證 這已經不是螺絲鬆了 根本沒
06/04 23:10, 18F
06/04 23:10, 7月前 , 19F
螺絲了
06/04 23:10, 19F
06/04 23:11, 7月前 , 20F
詐騙集團上廣告就大了
06/04 23:11, 20F
06/04 23:12, 7月前 , 21F
世界又不是只有google
06/04 23:12, 21F
06/04 23:12, 7月前 , 22F
相信政府,然後民政局長隨意調你的資料....
06/04 23:12, 22F
06/04 23:13, 7月前 , 23F
政府是不是腳麻了?不知道這問題的嚴重
06/04 23:13, 23F
06/04 23:13, 7月前 , 24F
性?
06/04 23:13, 24F
06/04 23:13, 7月前 , 25F
你可以用百度啊
06/04 23:13, 25F
06/04 23:14, 7月前 , 26F
改用區塊鏈發憑證啊
06/04 23:14, 26F
06/04 23:15, 7月前 , 27F
還有2個月,再什麼都不幹就有好戲看
06/04 23:15, 27F
06/04 23:28, 7月前 , 28F
政府只會藍白刪預算大罷免大成功
06/04 23:28, 28F
06/04 23:29, 7月前 , 29F
政府單位不作為 死不說哪個單位 吃屎垃圾黨
06/04 23:29, 29F
06/04 23:30, 7月前 , 30F
這時候和數發部又無關了 都很安靜
06/04 23:30, 30F
06/04 23:35, 7月前 , 31F
金融單位(銀行、券商)、機場港口、… 跳
06/04 23:35, 31F
06/04 23:35, 7月前 , 32F
個錯誤打斷金流,全部塞爆
06/04 23:35, 32F
06/04 23:36, 7月前 , 33F
想知道這篇錯在哪?如果願意指正很感謝
06/04 23:36, 33F
06/04 23:37, 7月前 , 34F
金流過不去,可能接著就是公司倒閉、違約
06/04 23:37, 34F
06/04 23:37, 7月前 , 35F
交割、破產跳樓事件
06/04 23:37, 35F
06/04 23:48, 7月前 , 36F
這篇肯定AI寫的
06/04 23:48, 36F
06/04 23:55, 7月前 , 37F
台灣資安有夠安 ㄏㄏ
06/04 23:55, 37F
06/05 00:02, 7月前 , 38F
中國發的都沒被抵制呢 笑死了 詐騙憑證
06/05 00:02, 38F
06/05 00:31, 7月前 , 39F
對於網路資安這塊,窩相信Google
06/05 00:31, 39F
06/05 00:33, 7月前 , 40F
不重要 抗中保台 挺大罷免 反藍白
06/05 00:33, 40F
06/05 00:47, 7月前 , 41F
數發部又不說話了
06/05 00:47, 41F
06/05 00:49, 7月前 , 42F
很AI內容敘述
06/05 00:49, 42F
06/05 00:51, 7月前 , 43F
大陸款?
06/05 00:51, 43F
06/05 00:55, 7月前 , 44F
中華app一直叫我VIP實名認證 要身分證
06/05 00:55, 44F
06/05 00:56, 7月前 , 45F
幾年前被Hami書城 個資外洩搞過
06/05 00:56, 45F
06/05 00:57, 7月前 , 46F
寫重點很難嗎 不就是沒憑證沒資安
06/05 00:57, 46F
06/05 01:15, 7月前 , 47F
憑證 只是最最基本的東西
06/05 01:15, 47F
06/05 01:16, 7月前 , 48F
獨董杜奕瑾講話喔
06/05 01:16, 48F
06/05 01:29, 7月前 , 49F
你不相信政府 你一定是中共同路人
06/05 01:29, 49F
06/05 01:30, 7月前 , 50F
抗中保台
06/05 01:30, 50F
06/05 01:31, 7月前 , 51F
世界又不是只有google 還有百度
06/05 01:31, 51F
06/05 02:47, 7月前 , 52F
查政府資料常常遇到紅網頁.就懶得去看了
06/05 02:47, 52F
06/05 03:55, 7月前 , 53F
垃圾政府 垃圾種花
06/05 03:55, 53F
06/05 07:30, 7月前 , 54F
誰跟你從未設想信任憑證也有風險?
06/05 07:30, 54F
06/05 07:30, 7月前 , 55F
就是有風險才會被 Google 撤銷阿
06/05 07:30, 55F
06/05 07:31, 7月前 , 56F
這個國家怎麼變成這個樣子?墮落!
06/05 07:31, 56F
06/05 07:31, 7月前 , 57F
台灣就繼續下去吧 反正任何事厚臉皮就好
06/05 07:31, 57F
06/05 07:32, 7月前 , 58F
沒證據都可以關人了
06/05 07:32, 58F
06/05 11:25, 7月前 , 59F
雖然整體寫的不錯但第三大段太糟
06/05 11:25, 59F
06/05 11:26, 7月前 , 60F
這篇整體寫的可以但是第三大段又是很智障
06/05 11:26, 60F
06/05 11:30, 7月前 , 61F
「新憑證都將面臨在 Chrome 出現錯誤警示畫
06/05 11:30, 61F
06/05 11:30, 7月前 , 62F
面的風險」不是啊哪來這種風險,你都知道他
06/05 11:30, 62F
06/05 11:31, 7月前 , 63F
家出事了,幹麻還跟他買新憑證,換別家啊
06/05 11:31, 63F
06/05 11:39, 7月前 , 64F
再下一段更奇怪,憑證本來就是要一直換,誰
06/05 11:39, 64F
06/05 11:47, 7月前 , 65F
會當成靜態資產?
06/05 11:47, 65F
06/05 11:47, 7月前 , 66F
耗材還差不多吧
06/05 11:47, 66F
06/05 13:49, 7月前 , 67F
200億的數位部到現在還在神隱也是傳奇了
06/05 13:49, 67F
06/06 08:49, 7月前 , 68F
民進黨執政品質就是爛
06/06 08:49, 68F
更多 monnom 的文章
文章代碼(AID): #1eG5-R2u (Gossiping)