葛如鈞表示,Google 這次在官網中詳細說明將阻擋「中華電信(Chunghwa Telecom)」和「行政院」關連的所有(受簽發憑證)網站的理由是「一連串的合規失敗、未兌現的改進承諾,以及對公開披露的事件報告缺乏具體、可衡量的進展。(a pattern of compliance failures, unmet improvement commitments, and the absence of tangible, measurable progress in response to publicly disclosed incident reports.)」這不是一件小事,在 Google Chrome 對外公告的審查結果當中說明,此次決定撤除對中華電信(和行政院)憑證的預設信任,主因是:「CA 長期、反覆出現 合規通報延遲、撤銷不及、稽核與揭露欠缺透明 等違反 CA/Browser Forum 基準要求 (BR) 的問題」這是一種巨大的合規缺漏與流程缺陷,流程缺陷可能增加詐騙網站取得有效憑證的機率。
他解釋,換句話說,未來用戶連結中華電信簽發的政府、金融、證券、數位簽章等應用,如果該網站沒有更新為 Google 信任的憑證,在 Chrome 瀏覽器旁的鑰匙圖案就會變為紅色驚嘆號提醒為不安全,甚至會整頁阻擋。這幾乎是天大的笑話與醜聞,沒想到整個網路世界第一次清楚學會 「Chunghwa Telecom」兩個英文單字代表中華電信 , 和「行政院」三個繁體中文字,竟然是從谷歌資安團隊部落格向全世界發出的警示學習得到。
換句話說,流程缺陷 → 風險放大 → 詐騙網站可能更容易拿到(或繼續使用)有效憑證,當驗證鬆散或撤銷遲緩時,即使沒有「蓄意共謀」,攻擊者也能更輕易取得或長期持有有效憑證,用來包裝釣魚/詐騙網站!
他質疑,這樣的數位政府,還值得信任嗎?這樣的中華電信,還值得信賴嗎?如何能讓人民相信您們能管好資安、國安或其他的安全?更可怕的是中華電信的新聞稿,避重就輕不談,甚至說「受影響範圍限於用於 Chrome瀏覽器時,至於使用微軟、蘋果等其他瀏覽器,則完全不受影響。」翻譯意思就是「你不要用 Chrome 就好了!」。
葛如鈞忍不住驚呼,Chrome 怎麼說也是世界上佔有率第一名(高達約 65%)的瀏覽器,這竟然是中華電信新聞稿的最後一點結論!?這跟簡訊會詐騙、iMessage 會詐騙,那不要用簡訊、關閉 iMessage 就好!銀行有反洗錢問題,那就讓開戶變困難、轉帳金額變小就好!金融帳戶有防詐需求,那就不斷查核用戶身分擾民重填不然就鎖帳戶就好!長者太容易被詐團盯上?那就頒佈臺灣銀行新法則,帳戶半年未交易就凍結「無法提款、轉帳」不就好了!?
很難不讓人聯想,我們的政府一邊喊數位韌性、資通安全、個資保護,一邊大聲疾呼增加預算打詐、防詐,但率先被全球最大瀏覽器公告為不信任的,竟然正正就是我們的官股電信公司、大到不能倒的 - 中華電信,以及最高行政機關 - 行政院(憑證主體 O=Executive Yuan, C=TW 但 上層是 Chunghwa ePKI Root)!?這是否恰恰證明了整個行政機關、官股體系不值得信賴?還是證明了詐騙產業的敵人就在本能寺?
葛如鈞說,自己依舊相信,中華電信、政府單位、機關法人內部都有戮力從供的工程師和公務員,但顯然是盤根錯節的內部結構或是某些責任層級已不再值得信任 — 至少不再值得 Google 信任。有關單位高喊打詐、防詐、資安即國安,但對網路信任、數位信任、個資信任的核心「中華電信」竟鬆散無作為,甚至是變本加厲的放任數位信任被濫用 — 「由於過去一年觀察到的令人擔憂的行為模式,Chrome 對中華電信...的可靠性的信心已減弱。這些模式代表了『誠信的喪失』,未能達到期望,侵蝕了這些認證機構作為 Chrome 默認信任的公開信任憑證發行者的信任。(Chrome's confidence in the reliability of Chunghwa Telecom… has diminished due to patterns of 『concerning behavior』 observed over the past year. These patterns represent 『a loss of integrity』 and fall short of expectations, eroding trust in these CA Owners as publicly-trusted certificate issuers trusted by default in Chrome.)」其原文措詞激烈程度,不再話下,故說是引發科技圈核爆,完全不虛假。
針對Google宣布Chrome將從2025年8月1日起,不再信任中華電信和NetLock頒發的TLS憑證。中華電信對此解釋,移除的原因是部分程序未能在Chrome新政策要求的時限內調整完成,中華電信預期在2026年3月完成,但所有於2025年7月31日前發行的憑證均不受影響。
