網站還敢用中華電信憑證？TLS憑證遭Google下架，三大缺失成關鍵

TLS 憑證為什麼重要？失去信任會發生什麼事？

TLS（Transport Layer Security）憑證是網站在網路上的數位身分證，主要用途包括資料加密與身分驗證，能保障用戶與網站間的傳輸不被竊聽或竄改。

一旦憑證遭撤信，使用者透過 Chrome 等主流瀏覽器造訪該網站時，將看到「你的連線不是私人連線」等警告訊息，甚至可能被阻擋無法瀏覽。對於需登入、付款、或使用憑證驗證的網站而言，將嚴重影響正常運作與用戶信任。

哪些網站與平台會受到影響？

影響範圍主要集中於 2025 年 8 月 1 日起使用由中華電信新簽發的 TLS 憑證 的網站。具體情形如下：

• 2025 年 7 月 31 日前簽發的憑證：仍可持續使用至有效期限屆滿，不受此次變更影響。
• Chrome 139（含）以上版本，在 Windows、macOS、Linux、Android 裝置上將阻擋中華電信新憑證。
• iOS 上的 Chrome 瀏覽器：由於使用 Apple 的信任機制，目前暫不受影響。
  

換言之，若網站未及時更換受信任的憑證來源，將面臨部分用戶無法正常連線的風險，影響營運與品牌形象。

Google 為什麼撤銷中華電信憑證？

Google 此次決定並非因中華電信憑證出現明確資安漏洞或私鑰外洩，而是針對其憑證簽發與管理流程的合規性、透明度與責任制度產生嚴重疑慮。根據 Google 和 Mozilla 的公開說明，主要問題包括以下三點：

1. 憑證欄位設定錯誤

GTLSCA 簽發的憑證中，Extended Key Usage（EKU） 欄位設定不符合憑證業界標準，導致 2023 年 9 月至 2024 年 3 月間，共有 6,450 張不合規憑證簽出。此錯誤長時間未被內部發現，直到外部通報才緊急撤銷。錯誤欄位設定可能使瀏覽器無法正確辨識憑證用途，降低通訊安全。

2. 稽核報告遞交延誤

中華電信 2023 年度自我稽核報告未按時提交，多次遭憑證監管社群催繳。甚至一度錯誤上傳 2024 年版本，並詢問是否可用來遞補 2023 年的缺件。其延誤理由為「人員異動未交接」，暴露內部合規流程與責任制度的薄弱。

3. 對外回應與改善計畫不足

面對國際社群質疑，中華電信僅表示此次事件並非因憑證漏洞或私鑰洩漏，並未提出具體改善時程與措施。對 Google 撤信的回應僅以「表達遺憾」作結，缺乏積極態度，進一步影響外界對其信任與期望。

綜合以上問題，Google 判定中華電信未能在合理期限內完成必要改善，因此決定正式移除其預設信任地位。

事件影響範圍有多大？

中華電信長期為國內憑證發行主要機構，服務對象包含眾多政府機關、金融機構與中大型企業。根據統計，Chrome 瀏覽器在台灣市占率超過 70%，因此一旦網站繼續使用中華電信新憑證，將面臨絕大多數用戶出現安全警告或無法連線的狀況，嚴重影響使用體驗與品牌信譽。

受到直接影響的設備包括：

• Windows、macOS、Linux、Android 裝置上安裝 Chrome 139（含以上版本）；
• iOS 裝置上的 Chrome 因使用蘋果內建憑證信任機制，暫不受影響。

相比之下，使用如 Let’s Encrypt、GlobalSign、DigiCert 等國際主流憑證機構簽發的憑證則不受影響，瀏覽器可正常建立加密連線，顯示安全鎖標誌。

中華電信與數位發展部的回應與後續安排

針對此次事件，中華電信已於公告中表示，將自 2025 年 8 月 1 日起 全面暫停 TLS 憑證的簽發服務，並同步啟動因應措施：

• 7 月 31 日前簽發、且仍在有效期內的憑證：將不受影響，可持續使用至憑證到期。
• 現有用戶服務：中華電信將主動聯繫用戶，提供免費憑證更換或協助轉介至其他受信任的憑證機構（CA），確保網站連線不中斷。
• 非網站用途的憑證（如自然人憑證、工商憑證、政府數位簽章等）：並未列入此次撤信範圍，仍可正常應用於金融交易、身分驗證與電子簽署等場景。
• 後續計畫：中華電信預計於 2026 年 3 月前完成合規機制的修正與補強，並重新向 Google 提出信任資格的申請。

另一方面，數位發展部也做出回應，指出政府機關自 2025 年 3 月起已全面導入「雙憑證機制」，採用由其他國內憑證機構簽發的 TLS 憑證，確保在 Chrome 等主流瀏覽器上的兼容性。目前多數政府網站所使用的憑證仍在有效期內，民眾瀏覽不會出現信任警告或功能異常。