全球第一大瀏覽器Google Chrome宣布將從8月1日起撤銷對中華電信簽發的傳輸層安全通訊協定(TLS)憑證，被在野黨立委稱為「核彈級數位信任大爆炸」，若無法及時補救，屆時民眾在Chrome上瀏覽政府網站時可能會看到「不安全」警告，到底此事件影響為何？政府目前解決之道是什麼？

憑證是什麼？作用為何？

憑證就像是網站的「身分證」，證明這個網站是真的，不是詐騙網站，是可以被信任的，所以成立一個網站，就必須取得合法的憑證。

Google Chrome 本身不簽發網站憑證，只維謢信任清單，目前他信任全球約70家經過嚴格審核的憑證機構(CA)，由這些CA代為替各網站簽發憑證。國內有中華電信和台灣網路認證公司(TWCA)在做這件事，性質就像「戶政事務所」。

中華電信發出的TLS(Transport Layer Security)憑證是目前主流的安全傳輸協定，用來取代早期的SSL(Secure Sockets Layer)協定，依照國際規範，公開信任的TLS憑證有效期限最長為398 天(約13個月)，目前許多憑證像Let’s Encrypt則採用更短的90天有效期，以提高安全性。

有了憑證之後，就可證明某個網站、伺服器或設備的真實身分，確保你正在與正確的對象溝通，而非冒充者；同時也可加密資料，防止在傳輸過程中被竊取或竄改，確保資料的安全。 

沒有憑證會發生什麼事？

資策會資安所副所長高傳凱受訪時指出，當進入沒有安裝安全憑證的網站，瀏覽器會顯示「不安全」警告，多數人看到警示圖後通常會選擇離開，對該網站或公司產生不信任感，進而影響企業形象與經營，除商譽問題外，技術上還存在遭惡意人士利用來竊聽或竄改通訊內容的風險。

而令人擔憂的是，若有不肖業者想魚目混珠、竊取金融個資，很可能會架設假網頁取代真網頁；或是假裝憑證失效，引導客戶去詐騙網頁重新輸入個資、帳號密碼等，民眾若真以為只是憑證失效，降低戒心，還是繼續進入網站，恐出現危機擴散效應。

中華電信憑證為何遭撤銷？

Google Chrome於台灣時間2025年5月30日宣布中華電信CA憑證授權單位未能在期限內完成必要合規措施，導致信任度下降，因此自Chrome 139版起，將移除預設信任中華電信於2025年7月31日後簽發的TLS網站新憑證。

簡單來說，Google Chrome會不斷更新憑證基準規範，CA業者需在新的規範生效後立即依循落實，但中華電信的憑證團隊沒有即時掌握並且落實。

中華電信董事長簡志誠解釋，瀏覽器不斷改版，欄位會變更，中華電信團隊對改版敏感度不夠，配合動作沒那麼快，在去年多次無法配合下，被認為「行為不被信任」，他為此感到抱歉，但也強調「是行為不被信任，並非技術不被信任」。

有何影響？

根據Google公告內容，這是針對2025年8月1日之後簽發的新憑證才會有影響，中華電信也承諾在取得信任前不會再發憑證；之前由中華電信TLS憑證中心(GTLSCA)所簽發的網站憑證在1年效期內仍可正常使用。

中華電信指出，目前簽發TLS憑證的網站有1萬多個，政府單位網站有8,000多個、企業商業網站有2,000多個，中華電信已主動聯繫受影響客戶，免費協助憑證更新或轉移至其他受信任的憑證機構，預計7月底會全數完成。由於新發憑證有效期都是1年，等於在明年3月中華電信取得新憑證前都不會受到影響。

有何解決之道？

數發部指出，今年3月起啟動政府網站的「雙憑證」機制，採用台灣本土憑證機構、台灣網路認證公司(TWCA)所簽發的憑證，確保政府網站在各主流瀏覽器上皆能持續安全運作。所以只要是政府網站以gov.tw結尾的網址、或是APP如健保快易通等，民眾在8月1日之後都還是可以順利瀏覽，不會有問題。

中華電信董事長簡志誠表示，中華電信現在已經開始申請爭取列入信任清單，預估最樂觀時程會在明年3月，且「非達目標不可」。

中華電信總經理林榮賜進一步指出，中華電信內部也列出8個項目執行改進，包括暫停簽發新憑證、協助客戶換發憑證、重整CA團隊、成立專責團隊、強化事件應變機制、建立合規監控制度、導入自動化檢查工具，以及規劃重新申請Google信任。

看到「此網站不被信任」時該怎麼辦？

資安所副所長高傳凱指出，當瀏覽器出現「不安全」警告時，即使網頁看似正常，仍可能存在被竄改、仿冒或遭中間人攻擊的風險。一般使用者如果無法確認網站真偽，就要透過反詐騙電話165或是打電話給該網頁所屬企業，確認網站是否出問題，特別是金融交易或需要輸入帳號密碼的網頁，都要特別小心。

轉換瀏覽器有用嗎？

高傳凱認為，不同瀏覽器對網站安全性的判定標準確實可能有所差異，因此有時候 Chrome 顯示警告，但 Firefox、Safari 或 Edge 等其他主流瀏覽器尚未跳出警示；這種情況下，使用者可以反向思考：若多數主流瀏覽器皆未標示不安全，或可視為該網站暫時仍具一定信任基礎。

但反過來說，既然已經有主流瀏覽器標記不安全，通常代表該網站存在合規或資安風險。一般使用者可視實際需求決定是否短暫存取，但不建議在紅色警示下進行登入、交易等敏感操作，以降低風險。

企業需注意之處？

數發部數位政府司副司長楊耿瑜指出，儘管現階段影響不大，但若中華電信到2026年3月仍未重新取得Google瀏覽器信任，企業也完全沒更換憑證，就可能陸續會出現「此網站不被信任」的狀況。

高傳凱提醒企業應定期檢視憑證的效期，並及時更換，以確保網頁瀏覽順暢。(編輯：許嘉芫)