在網路世界中,我們每天都在與各種網站互動,從網購、線上銀行到雲端儲存,這些服務之所以能讓我們安心地輸入個人資料、信用卡號,背後其實是仰賴一套稱為「憑證」的安全機制。而現在,Google 宣布了一項重大決策:從 2025 年 8 月起,Google Chrome 將不再信任由中華電信與匈牙利 NetLock Kft. 所簽發的新憑證。
這項改變對你我而言,有什麼影響?為什麼連中華電信這樣的大公司也會被「取消信任」?又該如何因應?
👉 前情提要:當數位信任瓦解:中華電信憑證危機來龍去脈,揭開台灣基礎建設的數位隱憂
憑證是什麼?為什麼重要?
當你在瀏覽器看到網址列上出現小鎖頭(🔒),代表你連線的網站有使用「SSL/TLS 憑證」,這是確保連線加密與驗證網站身分的關鍵工具。
這些憑證是由「憑證簽發機構(CA, Certificate Authority)」負責核發的,而瀏覽器像是 Chrome、Firefox、Safari 會維護一份「信任清單」,只信任其中所列出的機構。當一個憑證不在這份清單中,瀏覽器就會警告使用者:「這個網站不安全!」
為什麼 Google 要取消對中華電信憑證的信任?
Google 指出,這些 CA 機構未能持續符合 Chrome Root Program 的合規性與透明度要求,這可能包括:
- 沒有按規範記錄憑證透明度(Certificate Transparency)日誌
- 核發憑證的流程缺乏審查與問責機制
- 長期沒有解決先前被通報的問題
Google 在近年已逐步從依賴作業系統的信任清單,轉為建立 Chrome 自有的 Root Store,也就是說,不論你用的是哪一套作業系統,只要是使用 Chrome,它就會「自訂規則」來決定哪些憑證可以信任。
這種做法的背後,是為了加強對 CA 機構的監督,確保每一張憑證的發行都有可稽核、透明且合規的過程,最終目的就是:保障使用者安全、強化網站信任機制。
簡單來說,Google 希望所有 CA 都必須經得起檢驗、行為一致且可信任。只要某機構不再符合這些標準,就會被移除。
時程重點:2025 年 8 月 1 日生效
Google 表示,自 2025 年 8 月 1 日起,Chrome 將不再信任中華電信(Chunghwa Telecom)與 NetLock 所簽發的新憑證。具體內容如下:
- 在8/1前簽發的舊憑證仍會被接受
- 在此日期後簽發的新憑證,將會被 Chrome 阻擋,顯示安全警告
- 影響平台包含:Windows、macOS、Linux、ChromeOS 與 Android
被 Google 移出信任清單,許多國家、組織已有先例
事實上,這也不是 Google 第一次這樣做。像 TrustCor Systems、WoSign、StartCom,甚至中國的中國互聯網絡信息中心 (CNNIC) 和 CFCA,都曾被 Chrome 移出信任清單。
憑證簽發單位(CA)不被信任,會有什麼影響?
當 Google(特別是 Chrome 瀏覽器)將某個憑證簽發單位(CA)從「信任清單」移除後,會對該 CA 發出的憑證與使用者產生一連串實際的影響,以下整理出主要結果:
使用者層面影響
| 影響項目 | 說明 |
|---|---|
| 🔒 網站變成「不安全」 | 使用被移除 CA 簽發之憑證的網站,將在 Chrome 上顯示「您的連線不是私密連線」的錯誤訊息,無法正常進入。 |
| ⚠️ 用戶失去信任 | 使用這類憑證的網站將被用戶視為潛在風險來源,可能影響商譽與流量。 |
| ⛔ 阻擋 HTTPS 功能 | 即便網站有憑證,因為來自不受信任 CA,TLS 加密無法建立,導致 HTTPS 功能失效。 |
網站與企業層面影響
| 影響項目 | 說明 |
|---|---|
| 🔁 必須更換憑證 | 所有依賴該 CA 的網站、API、IoT 裝置需盡速更換為其他受信任 CA 簽發的新憑證。 |
| 📉 SEO 排名可能受影響 | 若網站 HTTPS 無法正常運作,Google 搜尋可能會降低其排名。 |
| 📞 增加客服負擔 | 用戶無法開啟網站,企業將接到大量報修與說明請求。 |
| 📋 需要重新審核安全政策 | 尤其金融、醫療等領域,需評估是否有因失去信任 CA 而造成法規或合規問題。 |
這項變更對網站或應用系統的營運影響重大,建議應該盡早進行以下盤點和因應策略:
- 立即盤點目前使用的 SSL 憑證是由誰簽發?
- 若為中華電信 CA(例如 ePKI Root CA、HiPKI Root CA – G1)簽發,請在 2025 年 8 月前更換成受信任的憑證,例如:
- Let’s Encrypt(免費)
- DigiCert、GlobalSign 等國際大型 CA
- 未來應確保憑證支援憑證透明度記錄,並定期更新信任狀態。
盤點中華民國政府部門網站/服務憑證使用狀態
雖然中華電信的聲明稿中表示,預期會在 2026/3 月完成 Chrome 的新政策要求,不過在 8/1 Chrome 發行 139 版後,有部分政府網站/服務將可能受到影響。
以下手哥盤點一些政府網站、服務整理出來的表格,確實有部分網站服務會受到影響。
| 網站/服務名稱 | 憑證簽發單位 | 簽發時間 | 到期時間 | 是否受影響 |
|---|---|---|---|---|
| 行政院 | TWCA | 2025/4/1 | 2026/3/12 | 否 |
| 綜所稅申報繳稅系統 | TWCA | 2025/4/8 | 2026/1/25 | 否 |
| 自然人憑證 | HiPKI OV TLS CA – G1 | 2025/3/28 | 2025/12/1 | ✅ 2025/12/1 後需更換 CA 簽發新憑證 |
| 工商憑證 | HiPKI OV TLS CA – G1 | 2025/4/9 | 2026/3/10 | ✅ 2026/3/10 後需更換 CA 簽發新憑證 |
| 公司負責人及主要股東資訊申報平臺 | TWCA | 2024/8/9 | 2025/9/4 | 否 |
| 立法院 | TWCA | 2025/3/12 | 2026/4/11 | 否 |
| 氣象資料開放平台 | HiPKI OV TLS CA – G1 | 2025/4/1 | 2026/2/25 | ✅ 2026/2/25 後需更換 CA 簽發新憑證 |
| 運輸資料流通服務平台 | HiPKI OV TLS CA – G1 | 2025/3/24 | 2026/6/25 | ✅ 2026/2/25 後需更換 CA 簽發新憑證 |
