中華電信的 CA 憑證問題

Google 宣布不再預設信任中華電信 CA 憑證
瀏覽器上,你看得到網址列旁邊的小鎖頭嗎?那個小鎖頭代表你的連線是安全的,背後是靠著「網站憑證」來驗證網站的身分,避免你連到假冒的網站。
而發行這些憑證的機構,我們稱為「憑證授權機構」(Certificate Authority,簡稱 CA)。簡單來說,CA 就是網路世界的「身分證發行中心」,扮演著極度關鍵且被信任的角色。
Google Chrome 瀏覽器最近發布了一則重磅公告,指出由於台灣的「中華電信」(Hinet)在過去一段時間的「行為表現」未達 Chrome 設定的高標準,例如有合規性問題或承諾的改進未確實執行,導致 Chrome 對它們的「信任度」已經降低。
Chrome 根憑證計畫有一項核心原則:納入信任清單的 CA,為使用者帶來的價值必須大於持續信任的風險。當 CA 出現問題時,必須展現實質且可驗證的改進。很遺憾,Chrome 認為從中華電信 CA 觀察到的模式,顯示它的完整性出現缺失,無法持續滿足作為公開信任 CA 的預期。
為了保護廣大 Chrome 使用者的安全,並維護 Chrome 內建「根憑證存放區」(想像成 Chrome 信任的 CA 清單)的完整性,Chrome 決定採取以下關鍵行動:

【重點一:受影響對象與時間點】
影響對象: 中華電信(及其相關根憑證,如 HiPKI) CA 核發的 TLS 伺服器驗證憑證(就是讓網站顯示小鎖頭的憑證)。
生效時間: 大約從 2025 年 8 月 1 日起(從 Chrome 139 版本開始推行)。
判斷標準: 影響的是憑證中「最早簽署憑證時間戳記 (SCT)」在這個日期 之後 的「新」憑證。簡單說,就是 2025 年 8 月 1 日後才新申請或更新、並由這中華電信發出的憑證會受影響。
好消息: 如果你的網站目前使用的憑證是在 2025 年 7 月 31 日之前取得 SCT 的(即使是中華電信發的),不受此變更影響。現有的憑證可以繼續用到自然過期。
【重點二:使用者將會遇到的情況】
從 2025 年 8 月 1 日起,如果 Chrome 使用者瀏覽到一個網站,而這個網站使用了上述 CA 在此日期後發出的「新」憑證,Chrome 將「不再預設信任」這個憑證。
使用者會在瀏覽器中看到一個「全頁的警告畫面」,類似於連線不安全的提示,可能導致無法正常瀏覽網站。
【重點三:網站經營者該怎麼辦?】
第一步:自我檢查。請確認你的網站憑證是由哪家 CA 核發的。你可以在 Chrome 瀏覽器中點擊網址列旁邊的小鎖頭 -> 選擇「連線安全」-> 點擊「憑證有效」,開啟憑證檢視器。查看「核發者」欄位中的「組織 (O)」,是不是列有「Chunghwa Telecom」、「行政院」。
第二步:規劃轉換。如果你的網站憑證是由中華電信 CA 核發,並且你的憑證到期日會在 2025 年 7 月 31 日之後,或是你在這個日期之後需要重新申請或更新憑證,那麼你「強烈建議」必須儘早規劃,改向 Chrome 信任清單中的「其他」CA 申請新的網站憑證。
延緩但非解決之道: 你可以在 2025 年 8 月 1 日之前,趕快向中華電信 CA 申請一個新的憑證(只要 SCT 日期在 7/31 前),這樣可以延緩影響,讓這個憑證繼續被信任到期滿。但當這個憑證到期後,你「最終還是」必須改向其他 CA 申請。
測試: Chrome 提供了命令列標誌,讓網站管理者可以在變更生效前,先測試看看自己的網站是否會受到影響。
【重點四:企業內部網路怎麼辦?】
對於企業內部網路使用的受影響憑證,企業的管理員自 Chrome 127 版起,可以透過在電腦端「明確信任」該根憑證(例如在 Windows 的憑證管理員中設定為受信任的根憑證授權單位),來覆寫 Chrome 的預設不信任設定。

以下為中華電信公告
中華電信發行之憑證安全無虞 2025/06/02
關於近日Google Chrome發布將移除預設信任中華電信於2025年7月31日後簽發的新憑證,中華電信說明如下:
一、中華電信經營及其受委託營運的公開服務的憑證管理中心,完全遵守且符合電子簽章法的規範,並皆通過WebTrust for CA及ISO 27001等國際標準外部稽核與驗證,所提供的數位簽章都具有法律效力,請所有客戶及使用者安心。
二、此次Google Chrome發布自Chrome 139 版起將移除預設信任中華電信於 2025年7月31日後簽發的新憑證,原因是部分程序未能在Chrome新政策要求的時限內調整完成,雖日前中華電信已完成調整且全數符合Chrome新政策要求,遺憾的是,Google Chrome仍決定先移除預設信任,移除的原因絕非是因憑證存在漏洞或私鑰洩漏,中華電信仍會積極爭取Chrome的預設信任,並預期在2026年3月完成。
三、中華電信表示,所有於2025年7月31日之前發行的憑證均不受影響;2025年7月31日之後發行的憑證,受影響範圍限於用於 Chrome瀏覽器時,至於使用微軟、蘋果等其他瀏覽器,則完全不受影響。
四、中華電信強調,因中華電信簽發的憑證完全合法合規,故客戶持憑證在政府、金融、證券、數位簽章等應用時,皆維持正常使用,不受任何影響,敬請民眾放心