中華電信的TLS憑證為何會被Google Chrome撤銷預設信任？

中華電信 TLS 憑證遭 Google Chrome 撤銷預設信任的原因

Google Chrome 於 2025 年 8 月 1 日起，將撤銷對中華電信簽發的 TLS 憑證的預設信任。此舉被視為「核彈級數位信任大爆炸」，起因於中華電信在憑證管理上出現重大缺失。主要原因包括 Extended Key Usage (EKU) 欄位設定錯誤、憑證撤銷延遲以及年度自評報告遲交等因素。

網站安全憑證 (TLS 憑證) 的重要性

網站安全憑證，常見稱為 SSL 或 TLS 憑證，是一種數位證書，用於驗證網站的真實性，並加密使用者與網站之間傳輸的資料。當網站啟用安全憑證後，網址會顯示為 "https://" 並出現鎖頭圖示，代表該網站的資料傳輸已加密。TLS 憑證的主要功能包括加密、驗證和完整性。未安裝安全憑證的網站，瀏覽器會顯示「不安全」警告，影響用戶信任與 SEO 排名。TLS 憑證就像是網站的「身分證」，證明它不是冒牌貨；同時，它也是資料的「保險箱」，確保你輸入的資料會被鎖起來，只有這個網站能打開。

中華電信 TLS 憑證失效的影響

8 月 1 日後，Chrome 瀏覽器將不再信任中華電信新簽發的 TLS 憑證。如果台灣的國家網站仍在使用這些憑證，用戶用 Chrome 瀏覽時會出現大紅色警示頁面，提醒網站不安全，可能影響民眾對政府數位服務的信任。中華電信聲稱，受影響範圍僅限於使用 Chrome 瀏覽器，使用微軟 Edge、蘋果 Safari 等其他瀏覽器完全不受影響。

Google 不信任中華電信憑證的核心原因

根據 Bugzilla 中的資訊，中華電信簽發憑證不被 Google 信任的原因可歸咎於以下三點：

• **不合規操作：EKU 欄位標記錯誤。**違反 CA/B Forum 的 Baseline Requirements (BR) v2.0.0 規定，該規定要求憑證中的 EKU 欄位必須標記為「非重大關鍵 (non-critical)」。中華電信旗下的 GTLSCA 持續將其錯誤標記為「重大關鍵」。
• **延遲發現與處理：**長達半年（2023 年 9 月至 2024 年 3 月）才意識到錯誤並停止錯誤標記，且在此期間發出了 6450 份不合規的憑證。
• **缺乏透明度：**在 EKU 事件處理過程中，行為不夠公開透明，需要外界不斷催促才提供進度，且拖延至 2024 年 5 月才完成撤銷。

小結

中華電信的 TLS 憑證遭 Google Chrome 撤銷預設信任，突顯了憑證管理上的疏失。儘管中華電信表示其他瀏覽器不受影響，但此事已對其聲譽造成影響，並提醒所有網站經營者應重視憑證安全，確保用戶的瀏覽安全。