葛如钧表示,Google 这次在官网中详细说明将阻挡「中华电信(Chunghwa Telecom)」和「行政院」关连的所有(受签发凭证)网站的理由是「一连串的合规失败、未兑现的改进承诺,以及对公开披露的事件报告缺乏具体、可衡量的进展。(a pattern of compliance failures, unmet improvement commitments, and the absence of tangible, measurable progress in response to publicly disclosed incident reports.)」这不是一件小事,在 Google Chrome 对外公告的审查结果当中说明,此次决定撤除对中华电信(和行政院)凭证的预设信任,主因是:「CA 长期、反复出现 合规通报延迟、撤销不及、稽核与揭露欠缺透明 等违反 CA/Browser Forum 基准要求 (BR) 的问题」这是一种巨大的合规缺漏与流程缺陷,流程缺陷可能增加诈骗网站取得有效凭证的机率。

他解释,换句话说,未来用户连结中华电信签发的政府、金融、证券、数位签章等应用,如果该网站没有更新为 Google 信任的凭证,在 Chrome 浏览器旁的钥匙图案就会变为红色惊叹号提醒为不安全,甚至会整页阻挡。这几乎是天大的笑话与丑闻,没想到整个网路世界第一次清楚学会 「Chunghwa Telecom」两个英文单字代表中华电信 , 和「行政院」三个繁体中文字,竟然是从谷歌资安团队部落格向全世界发出的警示学习得到。

换句话说,流程缺陷 → 风险放大 → 诈骗网站可能更容易拿到(或继续使用)有效凭证,当验证松散或撤销迟缓时,即使没有「蓄意共谋」,攻击者也能更轻易取得或长期持有有效凭证,用来包装钓鱼/诈骗网站!

Google 在官网中详细说明将阻挡「中华电信(Chunghwa Telecom)」和「行政院」关连的所有(受签发凭证)网站。翻摄自Google网站
Google 在官网中详细说明将阻挡「中华电信(Chunghwa Telecom)」和「行政院」关连的所有(受签发凭证)网站。翻摄自Google网站

他质疑,这样的数位政府,还值得信任吗?这样的中华电信,还值得信赖吗?如何能让人民相信您们能管好资安、国安或其他的安全?更可怕的是中华电信的新闻稿,避重就轻不谈,甚至说「受影响范围限于用于 Chrome浏览器时,至于使用微软、苹果等其他浏览器,则完全不受影响。」翻译意思就是「你不要用 Chrome 就好了!」。

葛如钧忍不住惊呼,Chrome 怎么说也是世界上占有率第一名(高达约 65%)的浏览器,这竟然是中华电信新闻稿的最后一点结论!?这跟简讯会诈骗、iMessage 会诈骗,那不要用简讯、关闭 iMessage 就好!银行有反洗钱问题,那就让开户变困难、转帐金额变小就好!金融帐户有防诈需求,那就不断查核用户身分扰民重填不然就锁帐户就好!长者太容易被诈团盯上?那就颁布台湾银行新法则,帐户半年未交易就冻结「无法提款、转帐」不就好了!?

很难不让人联想,我们的政府一边喊数位韧性、资通安全、个资保护,一边大声疾呼增加预算打诈、防诈,但率先被全球最大浏览器公告为不信任的,竟然正正就是我们的官股电信公司、大到不能倒的 - 中华电信,以及最高行政机关 - 行政院(凭证主体 O=Executive Yuan, C=TW 但 上层是 Chunghwa ePKI Root)!?这是否恰恰证明了整个行政机关、官股体系不值得信赖?还是证明了诈骗产业的敌人就在本能寺?

中华电信声明稿。中华电信官网
中华电信声明稿。中华电信官网

葛如钧说,自己依旧相信,中华电信、政府单位、机关法人内部都有戮力从供的工程师和公务员,但显然是盘根错节的内部结构或是某些责任层级已不再值得信任 — 至少不再值得 Google 信任。有关单位高喊打诈、防诈、资安即国安,但对网路信任、数位信任、个资信任的核心「中华电信」竟松散无作为,甚至是变本加厉的放任数位信任被滥用 — 「由于过去一年观察到的令人担忧的行为模式,Chrome 对中华电信...的可靠性的信心已减弱。这些模式代表了『诚信的丧失』,未能达到期望,侵蚀了这些认证机构作为 Chrome 默认信任的公开信任凭证发行者的信任。(Chrome's confidence in the reliability of Chunghwa Telecom… has diminished due to patterns of 『concerning behavior』 observed over the past year. These patterns represent 『a loss of integrity』 and fall short of expectations, eroding trust in these CA Owners as publicly-trusted certificate issuers trusted by default in Chrome.)」其原文措词激烈程度,不再话下,故说是引发科技圈核爆,完全不虚假。

针对Google宣布Chrome将从2025年8月1日起,不再信任中华电信和NetLock颁发的TLS凭证。中华电信对此解释,移除的原因是部分程序未能在Chrome新政策要求的时限内调整完成,中华电信预期在2026年3月完成,但所有于2025年7月31日前发行的凭证均不受影响。

Google 中华电信 行政院 SSL凭证 信任凭证 葛如钧