Google日前罕見地向全球網路社群公開宣告中華電信與行政院是不可信賴的對象。由於中華電信所簽發的憑證合規性不達標,且未兌現改進承諾,將自8月1日起,Chrome瀏覽器將不再預設信任中華電信新發行的TLS憑證。8/1起谷歌將暫停簽發台灣中華電信TLS網站憑證。這是「核彈級的數位信任大爆炸,國家資安大醜聞」。
如果憑證沒辦法順利取得,我們會有將近7成的使用者遇上麻煩,甚至就連政府官網可能也無法使用。
此次憑證信任被撤銷的影響層面相當廣泛,預計將近7成的使用者在明年3月以前都可能遭遇相關問題。包括行政院、經濟部、財政部等政府機關的官方網站,以及金融業、證券業等重要產業都將受到波及。「這影響到民眾日常的網路使用,包括網路轉帳、股票下單、網站訂票等功能都可能受到影響。」
為什麼中華電信爛成這樣?原因在官僚文化+低薪。自從民進黨上台後,就像其它國營事業一樣,中華電信被拿來酬庸用,除了獨董杜奕瑾,蘇志勳(陳菊前工務局副局長)、賴勁麟(前黨立委)、魏惠珍(柯建銘前助理),分任子公司的總經理、董事長、以及協理。這些人沒有半個是電信網路專業,全部都是來領乾薪的,本來處長、協理都是由內部的人逐漸升上去,專業還能運作,但,民進黨除了董事、總經理,就連處長、協理都可以空降,他們占滿所有位子,外行領導內行,久了當然會出事。另外又因為長年低薪,人補不滿,有後台的輕鬆賺,沒後台有能力的也不願意進去浪費生命,一個issue一年解不完是很正常的現象,事實上不要說一年,一輩子解不完都有可能。
除了中華電,民進黨詐騙政府把台電從優良賺錢企業經營到長年虧損,一賠就是五六仟億;中油也賠掉近700億,半個股本不知不覺就沒了;數位部出現了多元宇宙/民主網絡,沒有半點外交專業的林昶佐去當芬蘭大使,整個賴政府都在去專業化、去菁英化,不出事才奇怪。
針對此事件的處理過程,賴府院綠媒數發部與中華電信有意淡化問題的嚴重性。
憑證信任,政府高喊數位信任與全民防詐,結果連基本的憑證管理都做不好;毫無責任感,得過且過。
工具人(陳培哲)賴府的陳世凱不適任交通部長,外行領導內行不專業領導專業。
Google宣佈今年8月1日起,將不再預設信任中華電信簽發的TLS憑證,意思是8/1號之後,當我們要用Chrome瀏覽很多政府網站的時候(e.g., 健保卡網路服務、電子化政府入口、報稅系統),可能會看到「你的連線不是私人連線」的畫面。
如果網站使用的是8/1之後發出來的憑證,Google會用顯眼的紅色畫面警告使用者,密碼個資可能會被竊取,不建議繼續連線,使用者也可能無法順利造訪這些網站,影響的平台包括Windows、macOS、Android。
理論上,中華電信的憑證不被Chrome信任,使用者還是可以手動操作,下載憑證然後匯入系統,強迫Chrome去接受。
但實際上,網站成千上萬,相關企業伺服器設備以十萬計,使用者數量以百萬計,如果每一個點都要手動匯入N個憑證,會超級麻煩,要耗費無數時間人力,而且資安問題也會非常大。
正因如此,Google才需要跟簽發憑證的單位直接對接,確認彼此技術能力,確保一切合法合規,建立信任關係之後,Chrome就直接「相信」對方發出來的憑證,不必勞煩使用者自行確認。
我們平常使用各種網路服務,之所以體感行雲流水,沒有被憑證搞到神經耗弱,是因為背後已經有機制先驗證過。
如今中華電被剝除信任,除了可能會造成天大的麻煩以外,也等於是Google否定中華電的專業能力,是很嚴重的技術降評。
為什麼Google會出此決策?Google說原因是「中華電過去一年行為模式令人擔憂」,以及「無誠信、無法達到預期、侵蝕了信任」,這表示中華電信耍廢耍了一年以上,面對問題不認真/無法處理,隨便回覆就想交差了事。
例如中華電想用「負責人職位調動未交接」,來跟Google解釋延遲的原因,這招騙騙台灣內部還可以,放到國際上誰理你?