2025/06/18 05:30  
Google近日宣布，中華電信八月後簽發的TLS憑證，將不再被最新版的Chrome瀏覽器信任，引發科技圈關注。（資料照）
〔記者徐子苓／台北報導〕Google近日宣布，中華電信八月後簽發的TLS憑證，將不再被最新版的Chrome瀏覽器信任，引發科技圈關注。台科大資安中心主任查士朝擔憂，其他瀏覽器可能也會跟進，造成骨牌效應。
CA是負責簽發憑證的第三方機構，日常使用的瀏覽器和作業系統中，會內建一份「信任的CA」清單，如果憑證是來自這些信任的CA，瀏覽器才會將連線視為安全。Google指出，「過去一段時間裡，我們觀察到合規性不達標、改進承諾未兌現，以及對公開披露的事件報告缺乏具體、可衡量的進展。」
「中華電信在發放某些憑證時沒那麼嚴謹，便宜行事造成這樣的結果。」查士朝分析，由於中華電信承接大量政府標案，憑證發放程序可能較為鬆散，再加上為了使用方便，無法立刻廢除一些有疑慮的憑證。
也就是說，中華電信在發放程序和「管理與廢止」的能力上，沒有達到Google的管理規範，可能導致憑證被濫用，進而對網路安全造成風險。雖然目前影響範圍可控，但查士朝認為三個風險使得「事情遠比想像得嚴重」。
第一，「中間人攻擊」的風險升高。一旦憑證未被預設信任，民眾須自行點選「繼續前往」，久而久之會造成民眾習慣這樣的動作，進而增加詐騙集團或駭客網路釣魚成功的機率。
第二，引發其他瀏覽器跟進的「骨牌效應」。雖然目前主要影響Chrome瀏覽器，但不排除其他瀏覽器或作業系統開發商跟進，撤銷對中華電信的信任，導致中華電信簽發的憑證被封殺。
第三，物聯網裝置面臨風險。很多憑證會被部署到使用者終端或物聯網裝置，而為了要提供服務，業者會把私鑰也存在該裝置裡，結果只要有一台裝置被破解，整體通訊安全都會有問題。也就是說，如果這些物聯網裝置上的私鑰被竊取，且憑證又無法立即被廢止，那所有與該憑證匹配的裝置或服務都面臨被偽造身分的風險，影響範圍可能非常大。