Chrome停止信任憑證事件 監院要數發部中華電改進
(中央社記者高華謙台北14日電)Google Chrome去年停止預設信任中華電信於2025年7月31日後簽發的TLS網站新憑證,引發關注。監察院表示,數發部事後雖補救,但在風險覺察、監理強度及制度設計等面向仍有檢討必要,中華電信在憑證管理及合規作業也待改進。
監察委員賴鼎銘、葉宜津今天透過新聞稿表示,民國114年5月傳出中華電信營運的政府伺服器數位憑證管理中心(GTLSCA)憑證,將遭Google Chrome撤銷信任,影響範圍涵蓋政府網站、公共服務入口及相關數位應用,恐導致民眾連線受阻或誤判為不安全網站,衝擊政府數位服務信任基礎。
監委說,數發部事後雖推動政府網站雙憑證機制、完成全面換證作業,並透過契約裁罰及調整人力等方式補救,但在風險覺察、監理強度及制度設計等面向,仍有檢討精進必要。
監委指出,本案肇因中華電信GTLSCA於113年間接連發生多起違反國際憑證規範(Baseline Requirements,BR)情形,包括憑證格式錯誤及未於規定時限內撤銷等重大缺失,且涉及數千至上萬張憑證,顯示其內控及合規機制仍有不足。
監委強調,數發部作為政府公開金鑰基礎建設(GPKI)的主管機關,並肩負台灣資訊產業推動及資通安全政策統籌角色,雖已透過外部稽核、營運報告及契約機制管理,但113年上半年出現違規徵兆時,未能及時強化監督或要求建立有效檢核及應變機制,對違反憑證撤銷時效嚴重性也未充分認知,導致風險逐步累積。
監委說,此外,數發部事後對外說明時,將相關責任定位於委外契約關係,與其作為資訊產業推動及資通安全主管機關角色有明顯落差,宜檢討改進。
監委指出,現行憑證檢核及外部稽核多屬定期或事後查核,未能因應國際憑證體系即時自動化檢核趨勢,也未事先建立大規模憑證撤銷授權及應變機制;另政府憑證及數位信任體系已具跨機關關鍵基礎設施特性,卻尚未納入關鍵資訊基礎建設相關安全防護架構管理,於風險辨識、系統相依性及持續營運等面向,仍有必要檢討強化。(編輯:楊蘭軒)1150414
