中華電憑證遭Chrome移除 資安專家:可能削弱用戶警覺
(中央社記者何秀玲台北3日電)Google Chrome宣布,將移除預設信任中華電信於7月31日後簽發的新憑證,引發關注。資安專家今天說,此舉意味屆時使用Chrome造訪這類網站時,將出現安全警告;使用者對網站的信任感將受影響,也可能養成忽略警告的習慣,導致在遭遇網路攻擊時未能察覺風險。
趨勢科技資深技術顧問簡勝財向中央社記者表示,目前大多數網站都會使用HTTPS加密通訊,而非一般的資料傳輸,以確保安全連線與網站身分。加密通訊需要透過「數位憑證」驗證網站身分,憑證通常是由被信任的「憑證機構(CA)」簽發,就像Google Chrome會依憑證來決定是否信任這個網站。
對於Google Chrome宣布,將移除預設信任中華電信於2025年7月31日後簽發的新憑證,簡勝財指出,這表示未來若使用Chrome造訪這類網站,會跳出安全警告,並提示此為「不安全網站」;但其他瀏覽器可能還是會信任此憑證,視各自信任清單而定。
他表示,雖然這不代表網站本身有資安漏洞,但會影響民眾對網站的信任感。
DEVCORE共同創辦人暨紅隊總監許復凱指出,民眾未來若使用Chrome瀏覽器點擊某網站,且網站憑證是由中華電信在今年7月31日晚間11時59分後簽發,Chrome將「不再預設信任」這個憑證,網站會跳出警告畫面,提醒使用者網站存有連線不安全的疑慮。
他表示,此次事件與網站本身的資安狀況無關,使用者仍可手動點選繼續瀏覽該網站。然而這樣的憑證信任爭議,將可能影響使用者對網站的信任感。
許復凱進一步說明,若使用者正處於中間人攻擊(MITM)情境,將更難判斷出現的憑證警告,是來自實際攻擊,還是僅因憑證由不再受Google Chrome信任的中華電信簽發所導致。對進階用戶而言或許影響有限,但一般大眾可能逐漸養成忽略警告的習慣,進而提高在遭遇網路攻擊時未能察覺風險的可能性。
請輸入正確的電子信箱格式中間人攻擊指的是駭客偷偷介入正在雙向溝通的兩人之間,攔截或可能修改傳輸資料的一種攻擊方式,未察覺的雙方誤以為彼此仍在安全溝通。
許復凱也補充,本次影響僅限於Google Chrome瀏覽器,目前尚不確定其他瀏覽器是否會採取相同措施。(編輯:林家嫻)1140603
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。
