楼主:
F16V (Manners maketh man.)
2025-06-05 09:27:04壹苹/李俊毅
Google大动作宣布撤销中华电信、行政院TLS信任凭证 科技立委说重话了
国民党立委葛如钧2日踢爆,近日Google对外宣布,将不信任、不接受中华电信及其政府链(行政院 GTLSCA)于 7 月 31 日 之后签发的所有新凭证 。受影响单位须尽速换发或改用其他公信 CA,例如 TWCA,否则届时将看到整页红色警示。他说,简单讲,本来用浏览器网址列左方都会有个信任钥匙锁图案,这个小小图标代表了无数网络公司、凭证签发单位以及申用单位的努力,共同建立一个可信赖的网络;但是这次 Google 官方部落格罕见发稿并向整个网络世界点名宣告“中华电信”和“行政院”这两个机关:不可信赖!并且将在 Chrome 浏览器(v139
以上)撤销对他们的默认信任。
葛如钧表示,Google 这次在官网中详细说明将阻挡“中华电信(Chunghwa Telecom)”和“行政院”关连的所有(受签发凭证)网站的理由是“一连串的合规失败、未兑现的改进承诺,以及对公开披露的事件报告缺乏具体、可衡量的进展。(a pattern of
compliance failures, unmet improvement commitments, and the absence of
tangible, measurable progress in response to publicly disclosed incident
reports.)”这不是一件小事,在 Google Chrome 对外公告的审查结果当中说明,此次
决定撤除对中华电信(和行政院)凭证的默认信任,主因是:“CA 长期、反复出现 合规通报延迟、撤销不及、稽核与揭露欠缺透明 等违反 CA/Browser Forum 基准要求 (BR)
的问题”这是一种巨大的合规缺漏与流程缺陷,流程缺陷可能增加诈骗网站取得有效凭证的机率。
他解释,换句话说,未来用户连结中华电信签发的政府、金融、证券、数位签章等应用,如果该网站没有更新为 Google 信任的凭证,在 Chrome 浏览器旁的钥匙图案就会变为红色惊叹号提醒为不安全,甚至会整页阻挡。这几乎是天大的笑话与丑闻,没想到整个网络世界第一次清楚学会 “Chunghwa Telecom”两个英文单字代表中华电信 , 和“行政院”三个繁体中文字,竟然是从谷歌资安团队部落格向全世界发出的警示学习得到。
换句话说,流程缺陷 → 风险放大 → 诈骗网站可能更容易拿到(或继续使用)有效凭证,当验证松散或撤销迟缓时,即使没有“蓄意共谋”,攻击者也能更轻易取得或长期持有有效凭证,用来包装钓鱼/诈骗网站!
https://reurl.cc/Z4k4X6
Google 在官网中详细说明将阻挡“中华电信(Chunghwa Telecom)”和“行政院”关连 的所有(受签发凭证)网站。翻摄自Google网站 他质疑,这样的数位政府,还值得信任吗?这样的中华电信,还值得信赖吗?如何能让人 民相信您们能管好资安、国安或其他的安全?更可怕的是中华电信的新闻稿,避重就轻不 谈,甚至说“受影响范围限于用于 Chrome浏览器时,至于使用微软、苹果等其他浏览器 ,则完全不受影响。”翻译意思就是“你不要用 Chrome 就好了!”。 葛如钧忍不住惊呼,Chrome 怎么说也是世界上占有率第一名(高达约 65%)的浏览器,
这竟然是中华电信新闻稿的最后一点结论!?这跟短信会诈骗、iMessage 会诈骗,那不 要用短信、关闭 iMessage 就好!银行有反洗钱问题,那就让开户变困难、转帐金额变小 就好!金融帐户有防诈需求,那就不断查核用户身分扰民重填不然就锁帐户就好!长者太 容易被诈团盯上?那就颁布台湾银行新法则,帐户半年未交易就冻结“无法提款、转帐” 不就好了!? 很难不让人联想,我们的政府一边喊数位韧性、资通安全、个资保护,一边大声疾呼增加 预算打诈、防诈,但率先被全球最大浏览器公告为不信任的,竟然正正就是我们的官股电 信公司、大到不能倒的 -
中华电信,以及最高行政机关 - 行政院(凭证主体 O=Executive Yuan, C=TW 但 上层是 Chunghwa ePKI Root)!?这是否恰恰证明了整个 行政机关、官股体系不值得信赖?还是证明了诈骗产业的敌人就在本能寺?
https://i.imgur.com/r4gKjTL.png
中华电信声明稿。中华电信官网 葛如钧说,自己依旧相信,中华电信、政府单位、机关法人内部都有戮力从供的工程师和 公务员,但显然是盘根错节的内部结构或是某些责任层级已不再值得信任 — 至少不再值 得 Google 信任。有关单位高喊打诈、防诈、资安即国安,但对网络信任、数位信任、个 资信任的核心“中华电信”竟松散无作为,甚至是变本加厉的放任数位信任被滥用 — “ 由于过去一年观察到的令人担忧的行为模式,Chrome 对中华电信...的可靠性的信心已减 弱。
这些模式代表了‘诚信的丧失’,未能达到期望,侵蚀了这些认证机构作为 Chrome 默认信任的公开信任凭证发行者的信任。(Chrome's confidence in the reliability of Chunghwa Telecom… has diminished due to patterns of ‘concerning behavior ’ observed over the past year. These patterns represent ‘a loss of integrity ’ and fall short of expectations, eroding trust in these CA Owners as publicly-trusted certificate issuers trusted by default in Chrome.)”
其原文措 词激烈程度,不再话下,故说是引发科技圈核爆,完全不虚假。 针对Google宣布Chrome将从2025年8月1日起,不再信任中华电信和NetLock颁发的TLS凭证 。中华电信对此解释,移除的原因是部分程序未能在Chrome新政策要求的时限内调整完成 ,中华电信预期在2026年3月完成,但所有于2025年7月31日前发行的凭证均不受影响。
https://tw.nextapple.com/finance/20250603/1EE4AB2B958BDB4B6FEEE77EC11BC9D8