中華的憑證被google拔了
現在還去申請不就明知山有虎,偏向虎山行,換到撞到
是不是可以換別家寬頻了?
個人積分:298分
文章編號:91668295
[拇指向上][拇指向上][拇指向上]
個人積分:5791分
文章編號:91668318
個人積分:17197分
文章編號:91669437
個人積分:4214分
文章編號:91669488
個人積分:3927分
文章編號:91669680
個人積分:3927分
文章編號:91669695
我將為您深入分析整起中華電信憑證事件的來龍去脈:
事件總覽:信任的崩塌
簡單來說,中華電信作為台灣的「政府憑證總管理中心」(GRCA),其簽發的部份憑證(CA)因多次違反國際組織的規範與技術標準,在 2018 至 2019 年間,遭到包含 Google (Chrome)、Mozilla (Firefox)、Apple (Safari)、Microsoft (Edge) 等所有主流瀏覽器廠商決議**「不再信任」**。
這意味著,任何使用這些有問題憑證的網站,在上述瀏覽器中都會被標示為「不安全」,直接衝擊了大量台灣政府機關與企業網站的正常運營。
來龍去脈分析 (The Whole Story)
1. 背景:什麼是「根憑證」與「信任鏈」?
要理解這件事,首先要知道網路世界的信任是怎麼建立的。
憑證頒發機構 (CA): 就像是網路世界的戶政事務所,負責驗證網站的身分,然後發給它一張「數位身分證」,也就是 SSL/TLS 憑證。
根憑證 (Root Certificate): 瀏覽器和作業系統會內建一份「可信任的戶政事務所名單」,這就是根憑證。只要網站的憑證是由這份名單上的 CA 或其授權的下屬機構簽發的,瀏覽器就預設信任它。
中華電信的角色: 中華電信長期以來運營著政府憑證總管理中心 (GRCA),這個 CA 被納入了各大瀏覽器的根憑證名單中,使其具備簽發全球信任憑證的資格。
這個信任體系要求所有 CA 都必須嚴格遵守由「CA/瀏覽器論壇」(CA/Browser Forum) 制定的產業標準 (Baseline Requirements),以確保網路安全。
2. 導火線:多次的違規與技術失誤
問題並非一夕之間爆發,而是長期累積的結果。從 2017 年底開始,陸續有資安研究人員在全球公開的郵件論壇 (特別是 mozilla.dev.security.policy) 上揭露中華電信憑證管理的問題。
這些問題,就是整起事件的核心:
核心問題 1:域名驗證不實 (Improper Domain Validation)
這是最嚴重的違規。 CA 在簽發憑證前,必須用嚴格的方法確認申請者真的擁有該網域的控制權。但中華電信被發現使用了不合規定的驗證方法,甚至在某些案例中,可能在未完全驗證的情況下就簽發了憑證。這好比戶政事務所隨意發出身分證,是絕對不被允許的。
核心問題 2:使用過時且不安全的加密技術 (Outdated Cryptography)
SHA-1 憑證: 在全球早已禁用 SHA-1 演算法後,中華電信仍被發現簽發了新的 SHA-1 憑證。
1024位元 RSA 金鑰: 在業界已要求至少使用 2048 位元金鑰時,仍被發現其體系中存在不合規的 1024 位元憑證。
核心問題 3:稽核與透明度不足 (Lack of Transparency and Auditing)
未能及時、完整地向瀏覽器廠商社群揭露其所有的中繼憑證 (ICA)。
提交的年度稽核報告被發現有疏漏或不符合標準。
核心問題 4:溝通應對遲緩 (Slow Response)
在問題被揭露的初期,中華電信對於 Mozilla 和 Google 等社群的質疑,回應速度緩慢,且未能提出有效的改善計畫,這進一步侵蝕了信任。
3. 主要參與者與決策過程
Mozilla (Firefox):
這是本次事件的主要公開討論平台與決策者。Mozilla 的 security.policy 郵件論壇是全球 CA 相關政策討論的核心,所有違規的證據、中華電信的辯解、以及最終的處置方案,都在這裡被公開檢視與討論。Mozilla 的態度是決定性的。
Google (Chrome):
Google 作為瀏覽器龍頭,其 Chrome Root Program 的政策同樣嚴格。他們獨立進行調查,並與 Mozilla 的結論一致,強力推動了「不信任」的決策。
Apple (Safari) & Microsoft (Edge):
他們雖然較少在公開論壇發言,但都密切關注此案。最終,他們也選擇跟進 Mozilla 和 Google 的決議,形成四大瀏覽器廠商的聯合抵制。
中華電信 (Chunghwa Telecom):
事件的主角。從一開始的應對失據,到後期試圖提出補救方案,但為時已晚,無法挽回信任。
4. 最終結果與深遠影響
決議生效: 從 2019 年開始,各大瀏覽器陸續透過更新,將中華電信有問題的根憑證 (GRCA) 標記為「不信任」。
網站癱瘓危機: 所有使用這些憑證的網站(特別是大量政府網站),使用者在連線時會看到全頁的紅色「不安全」警告,導致民眾恐慌、服務中斷。各單位被迫緊急更換成由其他合格 CA (如 Let's Encrypt, DigiCert) 簽發的憑證。
信任的代價: 中華電信花費了數十年建立的全球信任,在一年內幾乎毀於一旦。這不僅是商譽的重大損失,也迫使其必須重新改造其憑證服務體系,並在未來可能需要花費極大的努力才能重新申請加入根憑證計畫。
產業警鐘: 此事件給台灣所有企業和政府機關上了一堂震撼教育:網路世界的信任是建立在全球一致的技術標準之上,而非單一國家或地區的權威。任何人都必須遵守遊戲規則,沒有例外。
結論
總結來說,中華電信憑證事件的來龍去脈,是一場因長期忽視國際標準、技術實踐不嚴謹、以及危機溝通失當,最終導致被全球網路安全生態系集體否決的典型案例。您記得「不只 Google」,這一點完全抓住了事件的關鍵,因為這正是 Mozilla 主導、所有主流瀏覽器廠商共同參與的全球性決策,也凸顯了網路信任體系的嚴格與公正性。
個人積分:9938分
文章編號:91670165
對啊 7成都是中華 另一個稍大的是台固 其他都靠互連 樓主還在那抵制 真的是好笑
個人積分:964分
文章編號:91670558
個人積分:1566分
文章編號:91670819
),那自然也不會有影響啦
....
關閉廣告