個人評語?記得【 沃通憑證 】發生過怎樣事情嗎?這些【 憑證 】還存在並運作著!且他們銜接在 中華電信 嗎?甚至是 相關設備 銜接在 某一個未知機房 。
______________________________________________________________________
過往臺灣曾發生憑證過期、失效等意外,但此次Google向全世界的公告而引發軒然大波,到底發生什麼問題?
該公司的Chrome瀏覽器因為不信任中華電信根憑證管理的作為,從今年8月1日起,將不再信任由中華電信簽發的TLS憑證;
若是7月31日前到期換發的中華電信憑證,仍有一年效期不受影響。
https://www.facebook.com/ithomeonline/posts/pfbid02uXSxWtMGGLXYVTzbUPZwYvf4XRXZF7SvLXihvSK4KxF9oQvuBAfK4KAMQW1bnfwul
Google安全部落格 公告
https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html
維護數位憑證安全 - Chrome 根憑證儲存即將發生變更
2025年5月30日
由 Chrome Root 程式、Chrome 安全團隊發布
附註:Google Chrome 已於 2025 年 5 月 30 日於公開論壇中宣布取消對中華電信及 Netlock 的預設信任。
Chrome 根程序政策規定,Chrome 根商店中包含的憑證授權單位 (CA) 憑證必須為 Chrome 最終使用者提供超過其繼續包含的風險的價值。它還描述了我們在 CA 所有者披露和回應事件時認為重要的許多因素。當事情進展不順利時,我們期望 CA 所有者致力於有意義且可證明的改變,從而實現有證據的持續改進。
由於過去一年觀察到的令人擔憂的行為模式,Chrome 對中華電信和 Netlock 作為 Chrome 根商店中的 CA 所有者的可靠性的信心已經減弱。這些模式代表完整性的喪失並且沒有達到預期,削弱了人們對這些 CA 擁有者作為 Chrome 中預設信任的公共信任憑證頒發者的信任。為了保護 Chrome 使用者並維護 Chrome 根儲存區的完整性,我們採取了以下措施。
Chrome 139 及更高版本即將發生的變更:
傳輸層安全性 (TLS) 伺服器驗證憑證驗證以下根 CA 證書,其最早的簽章憑證時間戳記 (SCT) 日期為 2025 年 7 月 31 日晚上 11:59:59 UTC 之後,預設將不再受信任。
OU=ePKI 根憑證授權機構,O=中華電信股份有限公司,C=台灣
CN=HiPKI Root CA - G1,O=中華電信股份有限公司,C=TW
CN=NetLock Arany(金牌級)Főtanúsítvány、OU=Tanúsítványkiadók(認證服務)、O=NetLock Kft.、L=布達佩斯、C=HU
對上述根集進行驗證的 TLS 伺服器身份驗證證書,其最早的 SCT 是在 2025 年 7 月 31 日晚上 11:59:59 UTC 或之前,將不受此更改的影響。
這種方法嘗試使用先前宣布的 Chrome 功能來刪除基於憑證中的 SCT 的預設信任,從而最大限度地減少對現有訂閱者的干擾。
此外,如果 Chrome 使用者或企業在依賴 Chrome 根儲存的平台和 Chrome 版本上明確信任上述任何憑證(例如,透過 Windows 上的群組原則物件傳達明確信任),則上述基於 SCT 的約束將被覆蓋,憑證將像現在一樣運作。
為了進一步降低中斷風險,鼓勵網站營運商查看下面列出的「常見問題」。
Chrome 為什麼要採取行動?
CA 在網路上扮演著特權和值得信賴的角色,為瀏覽器和網站之間的加密連線提供支援。在肩負這項重大責任的同時,我們也期望遵守合理且共識驅動的安全和合規性期望,包括 CA/瀏覽器論壇 TLS 基準要求所定義的期望。
在過去的幾個月和幾年裡,我們觀察到合規性不達標、改進承諾未得到履行以及對公開披露的事件報告缺乏切實可衡量的進展。當綜合考慮這些因素,並考慮到每個公眾信任的 CA 對互聯網造成的固有風險時,繼續保持公眾信任就不再合理。
此行動何時發生?
Chrome 將從 2025 年 8 月 1 日左右開始預設不再信任這些 CA 頒發的新 TLS 證書,這將影響到當時或之後頒發的證書。
此操作將在 Windows、macOS、ChromeOS、Android 和 Linux 上的 Chrome 139 及更高版本中進行。 Apple 政策禁止在 Chrome for iOS 上使用 Chrome 憑證驗證器和對應的 Chrome 根儲存區。
此操作對使用者有何影響?
預設情況下,上述人群中的 Chrome 用戶在存取使用中華電信或 Netlock 憑證(2025 年 7 月 31 日之後頒發)的網站時,將看到類似於此的整頁插頁廣告。
其他 CA 所發出的憑證不受此操作的影響。
網站經營者如何知道他們的網站是否受到影響?
網站營運商可以使用 Chrome 憑證檢視器來確定他們是否受到此操作的影響。
使用 Chrome 憑證檢視器
導航至網站(例如 https://www.google.com)
點擊“調整”圖標
點擊“連接安全”
點擊「證書有效」(Chrome 證書檢視器將會開啟)
如果「發行人」標題下列出的「組織 (O)」欄位不包含「中華電信」、「行政院」、「NETLOCK Ltd.」或「NETLOCK Kft.”,則無需網站所有者採取行動。
如果「頒發者」標題下列出的「組織 (O)」欄位包含「中華電信」、「行政院」、「NETLOCK Ltd.」或「NETLOCK Kft.”,則需要網站所有者採取行動。
受影響的網站經營者會做什麼?
我們建議受影響的網站
沒有留言:
張貼留言
歡迎討論