火狐撤憑證信任 中華電澄清
國民黨立委葛如鈞於7月10日召開記者會指出,繼Google日前宣布將於8月1日起停止信任中華電信簽發的TLS憑證後,Mozilla Firefox也已在6月26日撤銷憑證信任。葛如鈞表示,這等於宣告台灣在數位世界,已瀕臨「信任死亡」,台灣的資安信任體系正面臨前所未有的挑戰。中華電信董事長簡志誠於10日召開記者會澄清,並提出六點說明駁斥,盼勿造成不必要的混淆與恐慌。
葛如鈞表示,Google日前宣布,自8月1日起將停止信任中華電信所簽發的TLS憑證,Firefox更在6月26日緊接完成漸進式不信任的設定。對此,他提出三項訴求,包括全面清查行政院所屬三級以上機關網站;儘速修法,並納入伺服器憑證規範;由數發部出面,協調中華電信全面檢討,提出補救方案。
葛如鈞續指,數發部稱「超前部署」,但經核實發現交通部、農業部甚至數發部自己,仍繼續使用中華電信憑證,且沒設定自動切換雙憑證機制,連數發部本身都未落實。據他調查,行政院所屬31個部會中,仍有14個(占比45.1%)使用中華電信憑證,另有14個已轉用TWCA,剩下3個部會則改用國外所發行的伺服器憑證。
葛如鈞說,這場信任危機,不僅波及政府機關,也外溢到民間產業。他接到多家電商業者陳情,擔心消費者進入平台時跳出資安警告畫面,造成信任危機、訂單流失及商譽受損,更何況更換憑證要時間、成本及技術支援,數發部不應該推卸責任。
因此,葛如鈞提出3點訴求,一、全面清查行政院所屬三級以上機關網站,確保全部建置具自動切換的雙憑證機制;二、盡速修法,將《電子簽章法》應明確納入伺服器憑證規範,強化法制、明確監管,不能再拿法律漏洞當藉口;第三、協助民間由數發部出面,協調中華電信全面檢討,造成信任憑證被撤銷的管理問題與資安原因,並提出補救方案,協助受害業者平穩過渡。
簡志誠10日親上火線澄清。他提出六項說明,一、中華電信簽發的TLS網站憑證,在其有效期間內皆為合法有效,不會過了7月31日就無效;二、憑證是合法身分證,並無涉資安及國安。
三、針對「葛如鈞所提Mozilla Firefox撤銷信任」,與事實不符。Mozilla自2023年9月宣布,考量過舊的根憑證不符合現今國際規範,因此針對全球2006年以前發行的根憑證中心採取漸進式分批移除計畫,並非僅針對中華電信。
四、關於「葛如鈞所說,行政院所屬31個部會中,仍有14個部會使用中華電信憑證,根本沒有設定好自動切換雙憑證備援機制」。這是不實資訊,中華電信所核發的1萬1,800個政府網站TLS憑證,更新進度已達99.9%,只剩下7個政府網站還在申請,預計7月底前全數完成。
五、立委部分示範的影片,展示手動刪除憑證,當然會呈現無法閱覽的情況,此為誤導民眾為憑證失效,實為不符事實的操作行為;六、憑證簽發為全球通行的商業機制,國際皆然,實無關政府指揮或監督,請外界勿過度解讀。
簡志誠強調,中華電信與國際大廠間始終保持密切合作關係,絕無所謂「遭國際大廠不信任」的情事,誠摯籲請社會大眾勿輕信未經查證的不實訊息,以免造成不必要的混淆與恐慌。◇
