Google Chrome警告中华电信「诚信缺失」：8/1起停止TLS凭证信任、大量网页将无法读取

Google Chrome 将自 2025 年 8 月起停止信任中华电信与 Netlock 新 TLS 凭证，冲击网站安全，用户或面临警告。 （前情提要：ZachXBT：币托BitoPro疑在5月8日遭骇客攻击损失1150万美元 ） （背景补充：以太坊Pectra升级「骇客爽翻」，Wintermute警告：EIP-7702使大量合约部署自动化攻击 ） 全球市占率最高的浏览器 Google Chrome 宣布，自 2025 年 8 月 1 日起，将停止预设信任由台湾中华电信及匈牙利 Netlock 在此日期后发布的新 TLS 伺服器验证凭证。此决策源于 Google 对这两家凭证机构 (CA) 持续存在的合规问题与信任度疑虑，预计将对采用其凭证的众多网站造成影响，用户存取时可能遭遇安全警示。 信任危机与 Google 政策转变 Google 指出，此变更主要影响在 2025 年 8 月 1 日后发布，且最早签署凭证时间戳 (SCT) 晚于 2025 年 7 月 31 日 23:59:59 PM UTC 的凭证。此政策将适用于 Windows、macOS、ChromeOS、Android 及 Linux 平台上的 Chrome 浏览器，iOS 版 Chrome 则不受影响。TLS 凭证是确保网站与使用者间加密连线、保护资料传输安全的关键。Google 表示，中华电信与 Netlock 未能达到严格的行业标准。Google Chrome 团队指出： 「过去数月乃至数年，我们观察到一系列合规失败、未兑现的改进承诺，以及对公开揭露事件报告缺乏具体、可衡量的进展回应。这些因素累积，考量到每个受信任 CA 对网际网路的固有风险，继续给予公众信任已不再合理。」 凭证机构必须遵循如 CA/Browser Forum TLS Baseline Requirements 等规范，以确保加密连线的安全性及可靠性。 台湾许多网页由中华电信ePKI提供SSL、TLS相关凭证 对用户及网站的直接冲击 新政策实施后，若用户透过 Chrome 浏览器造访使用中华电信或 Netlock 于 2025 年 7 月 31 日后发布之新凭证的网站，将会看到全页安全警告，预设情况下无法直接存取。网站经营者可利用 Chrome Certificate Viewer 检查其网站是否受影响，若凭证「Issued By」的「Organization (O)」栏位包含「Chunghwa Telecom」、「行政院」、「NETLOCK Ltd.」或「NETLOCK Kft.」，且凭证在 2025 年 8 月 1 日后使用或续期，即属受影响范围。企业内部网路可自 Chrome 127 版本起，透过安装相应根 CA 凭证作为本机信任根来覆盖此限制，但此法不适用于公开网站。 Google 建议受影响的网站经营者应尽速转换至其他受信任的 CA，为避免对用户造成影响，必须在现有凭证（若于 2025 年 7 月 31 日后到期）过期前完成转换。替代选项包括 DigiCert、Let’s Encrypt 或台湾网路认证 (TWCA) 等。自 Chrome 128 版本起，开发者可使用命令列参数 --test-crs-constraints 模拟此变更的影响，以便提早测试。 中华电信回击 而针对Google 指控，中华电信 2日发出四点声明，强调发行之凭证安全无虞，请所有民众放心： 一、中华电信经营及其受委托营运的公开服务的凭证管理中心，完全遵守且符合电子签章法的规范，并皆通过WebTrust for CA及ISO 27001等国际标准外部稽核与验证，所提供的数位签章都具有法律效力，请所有客户及使用者安心。 二、此次Google Chrome发布自Chrome 139 版起将移除预设信任中华电信于 2025年7月31日后签发的新凭证，原因是部分程序未能在Chrome新政策要求的时限内调整完成，虽日前中华电信已完成所有调整且全数符合Chrome新政策要求，遗憾的是，Google Chrome仍决定先移除预设信任，移除的原因绝非是因凭证存在漏洞或私钥泄漏，中华电信仍会积极争取Chrome的预设信任，并预期在2026年3月完成。 三、中华电信表示，所有于2025年7月31日之前发行的凭证均不受影响；2025年7月31日之后发行的凭证，受影响范围限于用于 Chrome浏览器时，至于使用微软、苹果等其他浏览器，则完全不受影响。 四、中华电信强调，因中华电信签发的凭证完全合法合规，故客户持凭证在政府、金融、证券、数位签章等应用时，皆维持正常使用，不受任何影响，敬请民众放心。 业界人士透露 而为何中华电信不能配合Google Chrome完成新政策调整？据资安经历10年的业界人士指出，中华电信身为国内ISP龙头，自然在推进新版TLS协议上，有一定的包袱与困难，主要压力来自于政府相关行政命令法规的更新与民间与政府单位的凭证更换尚未完成。 过去更是为了支援旧版公务员的 XP 与 WIN7 系统 IE 浏览器，与政府相关单位多次周旋，而这次Google Chrome 对于新版凭证也对中华电信等主要凭证供应商造成了压力，专家建议为避免民间在7月31日后，由中华电信提供凭证的相关网站无法让任何民众浏览使用，过去向中华电信采购凭证的用户，应尽快与中华电信取得新版凭证、并更新网页。而为了避免更多流量损失，有关单位应该尽快更进相关动作或甚至颁布行政法规与公告来加速汰换。 相关报导 台湾银行新制上路：帐户半年未交易就冻结「无法提款、转帐」，用户抱怨扰民 台湾大哥大林之晨「生为台湾人，死为台湾鬼」震撼台大毕业生：年轻人寻找天命吧 〈Google Chrome警告中华电信「诚信缺失」：8/1起停止TLS凭证信任、大量网页将无法读取〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。