資安業者表示,雖然目前僅有谷歌(Google)宣布暫停信任中華電信簽發的憑證,對Apple、Microsoft等其他瀏覽器陣營尚未產生實質影響,但瀏覽器之間在維護網路信任架構上具高度共識,一旦谷歌開出第一槍,不排除引發連鎖反應。
KPMG數位安全顧問服務負責人邱述琛說,網路使用者的基本期望,就是他們瀏覽的網站,必須要是真實且正確,中華電信在台灣扮演網站真實性的憑證簽發機構之一,而像谷歌這樣的全球領導瀏覽器,在評核中華電信的安全維運狀況後,信賴其簽發的網站憑證,雙方充分合作讓網路使用者放心瀏覽網站,或收到可疑網站的預警。
邱述琛說,瀏覽器廠商對憑證機構有很高的期待和要求,期待落實審驗、謹慎核發,更重要的是,當發現問題時要能夠迅速處理,才能有效控制影響範圍,這正是目前政府大力推動反詐工作中,相當重要的一環。
邱述琛說,這個信賴結構須經長期且嚴格考驗才能建立,一旦被破壞,重建要花更多心力和時間。這次事件讓外界發現這個領域相當專業,未來無論人才培育或組織分工,都需要仔細評估,避免事件重演。
數發部數位政府司司長王誠明昨說,年初就已掌握此事,當時谷歌還未明確決定把中華電信從信任清單移除,不過,當時數發部認為,如果真的被移掉,對政府機關網站影響較大,所以決定採用「雙憑證」備援機制,確保還有另一個憑證可用,三月起就已提前採用雙憑證備援機制因應。
王誠明表示,谷歌不信任中華電信的憑證,並非資安技術或標準問題,主要是中華電信在管理和作業面的機制沒處理好,「所以谷歌才強調中華電信在管理和作業回覆上沒有很好,才會造成這樣的不信任」,數發部與中華電信是委外契約關係,後續憑證若無法發,現在的雙憑證也能因應,所以「這不是資安議題」。
王誠明說,數發部的備援採用台灣本土憑證機構所簽發的憑證,會確保政府網站在各主流的瀏覽器上皆能持續安全運作,保障民眾瀏覽體驗不中斷。