TLS
」 中華電信 憑證 Google
中華電信完成憑證治理轉型升級 正式申請加入Google Chrome預設信任清單
中華電信今(31日)宣布,旗下根憑證管理中心(CHT TrustRoot CA)歷經為期半年的系統性重整與最高規格的全面檢視,已完成組織效能與合規治理的轉型升級。相關強化措施獲得專業且獨立第三方的肯定,並順利通過國際WebTrust for Certification Authorities(WebTrust for CA)第三方獨立稽核,其稽核報告亦已取得瀏覽器業者認可,並於12月29日正式申請加入Google Chrome根憑證預設信任清單。中華電信表示,針對Google Chrome停止預設信任中華電信於2025年7月31日後簽發的TLS網站新憑證乙事,公司除了自2025年8月1日起,全面暫停簽發新的TLS憑證,並已於7月底前全數完成協助所有客戶進行憑證更新或轉換,確保客戶營運不中斷。同時,中華電信以誠懇、透明且務實的態度,全面檢視並積極改善,除於第一時間重整CA團隊組織架構,並成立專責改善團隊,針對憑證管理中心之組織效能、管理流程、合規能力及治理能力,進行全面性及系統性的盤點與優化。在制度與技術層面上,相關作為包括導入自動化憑證驗證工具PKIlint及zlint,以及多面向憑證審查工具(Multi Perspective Issuance Corroboration),以強化憑證簽發與管理流程之正確性。此外,同步強化短時間內完成大量憑證證撤銷及更換之應變能力,訂定完整的大量憑證撤銷更換程序,並完成多次實地演練,確保在各類情境下,公司皆能迅速、穩定地提供憑證服務。透過各項升級及優化措施,中華電信憑證管理中心之整體運作水準已全面接軌國際標準,並經第三方專業獨立稽核機構確認作業完備,足以確保憑證服務合規且穩定。在確認合規體質完善後,中華電信已於日前正式向 Google Chrome提交根憑證加入預設信任清單之申請。中華電信進一步說明,除了網站憑證管理之合規要求外,公司更主動推動憑證管理及應用的前瞻技術升級,包含完成對外服務網站以後量子加密機制(Post-Quantum Cryptography, PQC)進行防護,並推動以 ACME (Automatic Certificate Management Environment)協定,完成網站憑證生命週期的自動化管理機制,持續提升憑證服務效率與客戶體驗。中華電信強調,未來公司將持續秉持「國際合規、技術領先、服務至上」的精神,依循高標準治理原則,打造最值得信賴的數位憑證應用環境,為客戶提供最優質且穩定的服務。
安全聯盟開發TLS憑證工具 直接曝光詐騙釣魚網站假面具
資安非營利組織「安全聯盟(Security Alliance,SEAL)」宣布一套新工具,鎖定年內上半年因加密釣魚造成逾4億美元損失的亂象,目標是讓研究人員在詐騙網站啟用「偽裝內容」情境下,仍能以加密方式還原並驗證受害者實際看見的惡意頁面。這項機制名為「TLS驗證與可驗證釣魚報告系統(TLS Attestations and Verifiable Phishing Reports)」,設計給具經驗的資安社群使用,不面向一般大眾。據《Cointelegraph》報導,SEAL表示此工具定位在協助「好人」協作與舉證,而非提供日常用戶。過去研究人員常因詐騙者啟用偵測爬蟲、掃描器的「隱匿功能」而被引導至無害頁面,難以重現當事人點擊惡意連結時所見內容;TLS驗證試圖補上這段證據鏈。SEAL並在GitHub下載頁面標明,僅限進階使用者與研究人員操作。運作上,使用者在本機啟動HTTP代理,攔截至目標站點的連線並擷取必要細節;受信任的驗證伺服器在TLS握手過程中扮演「加密神諭」,負責所有加解密計算,實際對外連線仍由使用者維持。完成後可產生「可驗證釣魚報告」,以加密簽章證明該網站在當下確實回應了含釣魚內容的頁面。在這套技術的協助下,SEAL得以在不直接造訪可疑站點的情況下核實回報,降低詐騙者以流量判斷、地理與指紋比對等手法遮掩惡意內容的空間。SEAL提到,這類攻擊財損今年快速攀升,過去也曾發生過相關案例,比如與去中心化金融協議Venus Protocol相關的釣魚事件,單起損失約1,350萬美元。SEAL選擇自TLS通訊協定入手,符合其核心目的:TLS以對稱與非對稱加密確保端對端的機密性與完整性;若能在協議層取證,就能避開僅靠截圖、錄影難以被信任的老問題。SEAL補充,系統設計追求在隱私與可證性間取平衡,研究人員運作代理時不需把對外請求主導權交給伺服器端,降低濫用與外流風險。
中華電壓線換發Google憑證 力拚明年3月前重返信任名單
因應 Google Chrome於 2025 年 8 月 1 日停止預設信任由中華電信簽發之TLS網站憑證,中華電信29日表示,已於7月25日順利完成政府及商業(企業客戶)網站的Google憑證更新及換發作業,所有同意更新憑證之客戶網站,均已完成憑證換發,效期最長可達一年,除確保客戶網站能正常運作、連線安全性不受影響外,也力拚2026年3月底前重返信任名單。中華電也承諾,除積極強化內部管理,並於第一時間提出延長憑證效期等配套措施,降低對客戶的影響。為協助客戶順利完成憑證換發作業,中華電信除設立專責服務窗口,由憑證中心主動通知客戶辦理憑證換發,並透過客服中心專線(0800-080-123,全天候7x24小時)與憑證中心專線(02-2344-4820,週一至週五5x8小時)提供客戶即時且專業的諮詢服務。同時,針對有特殊需求的客戶,由專人服務窗口主動聯繫、瞭解客戶需求,即時處理所有憑證案件。除了全面協助換發憑證外,中華電信表示,公司內部也持續強化憑證營運管理機制,包括提升「憑證政策管理委員會」層級、導入第三方稽核制度以確保透明與合規性、精進自動化憑證換發流程以提升效率等具體作為,力拚2026年3月底前重返信任名單。中華電信強調,公司亦將持續關注國際憑證政策動態,為客戶帶來更穩定的服務。
「比特幣巨鯨」休眠14年復活!錢包裡7千美元已漲到10.9億
1名在14年前投資超過7千美元購買比特幣(Bitcoin)的「比特幣巨鯨」(Bitcoin whales),如今已獲得上看數十億美元的豐厚回報。據英國網媒UNILAD的報導,沈睡14年後,2個各自持有10,000枚比特幣的錢包本週被重新激活。這2個僅以「12tLs...xj2me」和「1KbrS...AWJYm」為代號的錢包,分別在3日、4日將比特幣轉移至新地址。自轉移後,這些比特幣錢包未再有任何動靜,這也是它們在長達14年的休眠期間唯一一次活動。雖然這些被稱為「比特幣巨鯨」的錢包主人的身份仍是謎團(包括為何選擇在如此長時間後移動比特幣),但每個錢包的價值現已達到數十億美元。根據decrypt的定義,加密貨幣領域的「巨鯨」是指「持有大量數字貨幣和代幣的個人或實體。」回顧2011年,當時比特幣價格約為0.78美元。此後其價值飆升了13,982,800%,這意味著這些錢包目前的價值每個都高達驚人的10.9億美元。此次異常活動被Whale Alert和Lookonchain監測到。Whale Alert在X平台上發文稱:「1個包含10,000枚#BTC(價值1,092,973,486美元)的休眠地址,在沉睡14.3年後剛剛被激活(2011年時價值僅7,793美元)!」這類活動尤其值得關注,因為若這些比特幣被拋售,可能對市場造成衝擊。根據Onchain School的數據,與2024年同期相比,2025年第1季度休眠比特幣錢包的移動量增加了1倍以上。報告指出:「鏈上數據顯示,2025年1月至3月期間共有62,800枚沉睡超過7年的$BTC被移動,而2024年第1季度僅有28,000枚$BTC,這標誌著古老比特幣的移動量增加了121%。」BTC Markets首席執行官鮑勒(Caroline Bowler)向MarketWatch表示:「最令人驚嘆的是,持有者需要極強的自制力才能在這麼長時間的市場週期中堅持如此之久。」她補充說,如果這些比特幣被出售,無疑會引發市場震盪。「即便如此,要消化10,000枚比特幣也需要大量場外交易(OTC)活動。但某人單筆交易或在1週內分批拋售10,000枚的可能性微乎其微。」卡羅琳還指出:「市場上存在一些持有大量比特幣的休眠錢包,由於持有人已遺失存取權限,這些錢包很可能永遠不會被激活。」她強調:「正因如此,當比特幣社區看到這類『復活』的案例時,總會引發關注及熱議。」
被Google取消TLS憑證…中華電信道歉「明年這時間完成」
電信龍頭「中華電信」因為未能及時達成Google Chrome政策之要求,將於今年7月31日起被取消TLS網站憑證。對此,中華電信道歉並強調「憑證事件無涉資訊安全與網路安全」,承諾會在2026年3月前完成Google Chrome TLS網站憑證的預設信任,而3C達人廖阿輝也發表看法了。Google近日在官方部落格指出,過去1年中觀察到中華電信在預設信任憑證機構上的行為模式出現多起令人憂慮的事件,導致對於其認證的可靠性產生質疑,認為「誠信上出現缺失」,不符合Chrome的預期標準,將在8月1日最新版Chrome(139版以上)停止預設信任中華電信的TLS憑證。中華電信發聲明解釋,此雖非憑證存在漏洞或私鑰洩露,亦無涉資訊安全或網路安全疑慮,但對於社會大眾所造成之困擾,中華電信深表歉意,同時承諾將盡最大努力持續精進憑證營運管理,並期於2026年3月前完成Google Chrome TLS網站憑證的預設信任。根據《NOWnews今日新聞》報導,3C達人廖阿輝指出,在詐騙的識別上,往往會希望民眾可以到政府官網進行確認,但中華電信發出的憑證包含了不少政府單位網站,若沒有在期限內盡快的轉移憑證到Google認可的CA,民眾進入政府官網可能會出現「不安全」的紅色網站警告,造成資訊上的混淆。廖阿輝提到,尤其涉及敏感資訊或交易時,可能會降低信任度,長輩及網路詐騙高風險族群可能因此而更易陷入詐騙風險,他認為政府網站若無法及時處理憑證更換,將是一大諷刺且危及數位信任的嚴重問題。
中華電憑證8月起遭Chrome「拔信任」! 政府備援公司急回應
Google近日宣布自2025年7月31日起,將移除對中華電信憑證的預設信任,Google Chrome宣布,中華電信(2412)昨(2)日晚間發布說明,移除的原因是部分程序未能在Chrome新政策要求的時限內調整完成,中華電信預期在2026年3月完成,但所有於2025年7月31日前發行的憑證均不受影響。今(3)日,中華電信以131.5元平盤價開出,隨後走低,午盤暫跌0.76%,來到131元。Google宣布Chrome將從2025年8月1日起,不再信任中華電信和NetLock頒發的TLS憑證。數位發展部今日召開部長上任周年記者會,對此事件,部長黃彥男回應表示,數發部今年年初即掌握此資訊,提前採用雙憑證備援機制因應。黃彥男強調,此問題主要源於中華電信管理與作業面機制處理不當,並非技術標準問題。數位發展部發布新聞稿指出,為了因應Google宣布自114年8月1日起,最新版Chrome瀏覽器將停止信任後續中華電信所簽發的傳輸層安全通訊協定(TLS)憑證,政府之前已掌握相關情資,並超前部署全面應變措施。數發部自今年3月起啟動政府網站雙憑證機制,採用台灣本土憑證機構所簽發的憑證,確保政府網站在各主流瀏覽器上皆能持續安全運作,維持公共數位服務的穩定性與可信度。數發部說明,根據Google公告內容,這次信任政策變動是針對114年8月1日之後簽發的新憑證,因此之前由政府TLS憑證中心(GTLSCA)所簽發的網站憑證,在1年效期內仍可正常使用,並未受到此次變動的直接影響。換言之,民眾目前透過Chrome瀏覽各政府網站時,依然能獲得完整的安全連線保護,不須擔憂網站遭瀏覽器警示或顯示異常。中華電信昨晚也發布聲明表示,由中華電經營及其受委託營運公開服務的憑證管理中心,完全遵守且符合電子簽章法的規範,並皆通過WebTrust for CA及ISO 27001等國際標準外部稽核與驗證,所提供的數位簽章都具有法律效力,請所有客戶及使用者安心。中華電說明,此次Google Chrome發布自Chrome 139版起,將移除預設信任中華電信於2025年7月31日後簽發的新憑證,原因是部分程序未能在Chrome新政策要求的時限內調整完成,雖然日前中華電信已完成所有調整且全數符合Chrome新政策要求,遺憾的是,Google Chrome仍決定先移除預設信任,移除的原因絕非是因憑證存在漏洞或私鑰洩漏,中華電信仍會積極爭取Chrome的預設信任,並預期在2026年3月完成。中華電信指出,所有於2025年7月31日之前發行的憑證均不受影響;2025年7月31日之後發行的憑證,受影響範圍限於用Chrome瀏覽器時,至於使用微軟、蘋果等其他瀏覽器完全不受影響。中華電信強調,因中華電信簽發的憑證完全合法合規,客戶持憑證在政府、金融、證券、數位簽章等應用時,皆維持正常使用,不受任何影響,請民眾放心。