中華電憑證遭Chrome移除 資安專家：恐削弱用戶警覺

Google Chrome宣布，將移除預設信任中華電信於7月31日後簽發的新憑證，引發關注。資安專家今天說，此舉意味屆時使用Chrome造訪這類網站時，將出現安全警告；使用者對網站的信任感將受影響，也可能養成忽略警告的習慣，導致在遭遇網路攻擊時未能察覺風險。

趨勢科技資深技術顧問簡勝財向中央社記者表示，目前大多數網站都會使用HTTPS加密通訊，而非一般的資料傳輸，以確保安全連線與網站身分。加密通訊需要透過「數位憑證」驗證網站身分，憑證通常是由被信任的「憑證機構（CA）」簽發，就像Google Chrome會依憑證來決定是否信任這個網站。

對於Google Chrome宣布，將移除預設信任中華電信於2025年7月31日後簽發的新憑證，簡勝財指出，這表示未來若使用Chrome造訪這類網站，會跳出安全警告，並提示此為「不安全網站」；但其他瀏覽器可能還是會信任此憑證，視各自信任清單而定。

他表示，雖然這不代表網站本身有資安漏洞，但會影響民眾對網站的信任感。

DEVCORE共同創辦人暨紅隊總監許復凱指出，民眾未來若使用Chrome瀏覽器點擊某網站，且網站憑證是由中華電信在今年7月31日晚間11時59分後簽發，Chrome將「不再預設信任」這個憑證，網站會跳出警告畫面，提醒使用者網站存有連線不安全的疑慮。

他表示，此次事件與網站本身的資安狀況無關，使用者仍可手動點選繼續瀏覽該網站。然而這樣的憑證信任爭議，將可能影響使用者對網站的信任感。

許復凱進一步說明，若使用者正處於中間人攻擊（MITM）情境，將更難判斷出現的憑證警告，是來自實際攻擊，還是僅因憑證由不再受Google Chrome信任的中華電信簽發所導致。對進階用戶而言或許影響有限，但一般大眾可能逐漸養成忽略警告的習慣，進而提高在遭遇網路攻擊時未能察覺風險的可能性。

中間人攻擊指的是駭客偷偷介入正在雙向溝通的兩人之間，攔截或可能修改傳輸資料的一種攻擊方式，未察覺的雙方誤以為彼此仍在安全溝通。

許復凱也補充，本次影響僅限於Google Chrome瀏覽器，目前尚不確定其他瀏覽器是否會採取相同措施。