1.媒体来源:
科技新报
2.记者署名:
TN Choice
3.完整新闻标题:
中华电信凭证风波的资安真相：信任，不再只是技术问题
4.完整新闻内文:
2025 年 5 月底，Google 宣布自 8 月 1 日起，Chrome 浏览器将停止信任由中华电信
与 NetLock 所签发的新 TLS 凭证，震撼台湾公私部门的资安圈
虽然中华电信强调其凭证本身并无技术漏洞，且已完成符合 Chrome 新政策的所有程序调
整，但 Google 的公告却明确指出，关键在于“持续性的合规失误”与“无法履行改进承
诺”。这场信任危机并非单一技术事件，而是对凭证管理、供应链信任与治理透明度的重
大提醒，CA（凭证机构）不只是技术单位，更是数位信任的守门人。
企业与政府单位若仍将资安问题简化为“安全设定没做好”、“技术不够成熟”的工程问
题，将错失真正该面对的核心风险：你的信任供应链是否健全？你的风险监控与回应流程
是否到位？你的凭证合作伙伴，是否具备持续受信任的能力？
凭证不是万灵丹，错放信任反成资安破口
中华电信这次事件最值得讨论的，其实不是为何被 Google 拔除信任，而是为何我们从未
设想信任凭证也有风险。多数企业与政府机关对 TLS 凭证的理解仍停留在反正有锁就安
全、交给大厂就没事的层级，对凭证的来源、合规性、治理机制与改进纪录完全不了解。
事实上，凭证是一种被赋予信任的技术凭据，其价值建立在整个凭证机构的内控流程与稽
核透明度。
Google 根据自身 Root Program 政策，明确表示：一个 CA 若无法持续展现进步与治理
承诺，即使其凭证尚未发生技术性事故，也无法维持被默认信任的资格。这个标准不是针
对中华电信，而是对所有受信凭证机构的共同要求。从资安观点来看，这代表我们不能只
把，是否加上 HTTPS，当作安全指标，而是要开始检视，我们所依赖的每一个信任来源，
是否真正值得信任？
资安治理不是“补技术缺口”，而是管理信任断点
这次中华电信的风波也再次暴露出资安治理的长期盲点，多数单位并未建立一套，应对凭
证信任崩盘的替代机制与紧急应变流程。Google 虽表示旧凭证不受影响，但从 2025 年
8 月起，所有新凭证都将面临在 Chrome 出现错误警示画面的风险。对企业网站来说，这
将直接影响使用者信任、转换率与 SEO 排名；对政府平台来说，更可能被民众质疑是否
有资安能力，甚至引发社会恐慌。
面对这种信任风险，真正有准备的单位应该早已启动双凭证机制、评估供应商风险、建立
替代 CA 的切换机制，并且在凭证即将过期前完成替换与测试。更进一步，资安团队应该
与法务、采购、品牌管理部门合作，建立凭证信任管理政策，从选择、签约、验证到突发
事件通报都有完整规范。凭证不是静态资产，而是一种需要被主动监控与动态管理的信任
系统。
资安信任危机，终将回到经营者的抉择
Google 此次事件对台湾的震撼，远超过技术范畴，它实际凸显了企业与政府在数位治理
上必须面对的残酷现实。也就是信任的失去，往往不是因为被骇，而是因为你没做该做的
管理。当凭证的有效性变成一场，信任是否继续的争议，而非是否过期的技术问题时，谁
来负责这个决策？若答案仍是：“问资讯部门”，那么这场危机也许只是开始。
资安信任不是靠一张 ISO 认证报告堆出来的，而是长期治理的成果累积。不论你是政府
单位还是电商平台，面对这次事件，你该问的问题是：如果你的凭证明天被撤销，你的网
站能活下来吗？用户还会相信你吗？
从今天起，让我们重新思考资安的本质：它不是单纯装上防火墙这么简单，而是每一层信
任的选择与管理，更包含你选择谁来颁发你的数位身分。
5.完整新闻连结 (或短网址)不可用YAHOO、LINE、MSN等转载媒体:
https://infosecu.technews.tw/2025/06/04/the-truth-about-the-security-of-chunghwa-telecoms-credentials/
https://reurl.cc/mxOy1W
6.备注: