谷歌宣布8月起不再信任中華電信核發的憑證,逾萬個公私部門網站將受影響。
但數發部卻強調只能管理「政府」網站,且依職權難以針對事件啟動調查,真是如此嗎?
一場看不見的數位風暴,即將於8月1日登陸台灣。身處風暴中心的主管機關數發部,卻未正視問題。
谷歌(Google)今年5月底宣布,自8月起,其Chrome瀏覽器將不再信任中華電信所簽發的TLS網站憑證,國內約有一萬個網站將受影響,許多網頁可能淪為資安破口。
「網站憑證」的功能,是被用來確保網頁的「身分正確」與「資料安全」。當你點進一個網站,伺服器會提供一個密件信封,讓你把指令封裝、寄出;隨後伺服器也以相同方式回傳資料,才能開始瀏覽網頁內容。
網站憑證就是那個「密件信封」,因為寫上正確收件地址,且信件加密封條,內容不會被偷看或竄改;一旦沒有憑證,就像寄出一張「明信片」,資訊不只暴露於眾,還可能被路人篡改內容及地址。
因此,點進一個「沒有憑證」的網站,使用者等於公開所有的個資、足跡,容易被駭客攔截或偽造資料,甚至讓你誤入偽冒的網站。
▲點進網站後,若出現「你的連線不是私人連線」的警語,就表示憑證無效,資料沒有加密傳輸、易遭截取或竄改。
數發部「做半套」監管消極
只顧政府網站 民間風險未解
谷歌在全世界找了67家機構提供憑證,其中包括台灣的中華電信和台灣網路認證公司(TWCA)。這次出包的中華電信,在國內核發憑證網站約一萬多個,其中政府機關占約8千個、民間企業占約兩千個。
面對這場不信任風暴,主管網路資訊的數發部強調,針對政府委託中華電信申購的網站憑證,早在3月就啟動「雙憑證機制」,協助政府機關將憑證轉換到台網公司,目前已超過九成完成更新;至於兩千多個民間網站,不在數發部掌管範圍,「屬於中華電信與民間公司的商業行為。」
由於憑證效期為1年,中華電信正趕在8月被撤銷前,提早協助民間企業客戶轉介或換發新憑證,以延續新1年時效。依照中華電信回覆本刊數字,今年7月31日前到期的企業客戶,已逾6成完成轉換或更新,而8月1日後到期的企業客戶,也正加緊處理中,但未透露具體進度。
儘管數發部一再強調,已超前部署啟動應變措施;但面對攸關全民資安的重大危機,數發部「只管政府、不理民間」的態度,仍引來專家質疑。
資安學者翻開《數位發展部組織法》指出,數發部職責是要協助「公、私部門」數位轉型業務,且有權訂定相關審驗規範。這次事件,除了政府憑證受影響,民間公司也遇到有損權益的不合理狀況,數發部理應督導、完善相關機制。
另名網路治理專家也點出,數發部確實是透過中華電信購買政府網站憑證,「但維運業務委外,並不代表法律與行政責任也委外。」他質疑,數發部3月就掌握狀況,早有機會積極介入調查,避免事態愈演愈烈。
點開谷歌5月底公告,內文指出,中華電存在「不合規、未履行改善承諾、對公開事故未有改進成果」等「令人擔憂的行為模式」,不再信任其憑證。
提早續發憑證恐擴大風險
專家籲停用 改採其他憑證
「但『令人擔憂的行為』到底是哪些?數發部應該徹底調查。」資工專業出身的國民黨立委葛如鈞舉例,有疑慮的行為可能包含將憑證錯發給釣魚網站、未撤銷危險網站的憑證等,數發部必須全面盤點,才能避免類似狀況在台網公司重演。
面對外界質疑,數發部僅說明,「本部沒有對中華電信啟動行政調查的權責,但將依契約要求改進,確保政府網站的信任穩定性。」至於民間網站,則透過產業公協會協助,持續與中華電信合作改善。
但數發部的消極態度,恐讓大眾持續曝於資安風險之中。首先,中華電信只急著在8月「失去信任」前,替客戶「提早核發」新憑證,卻未具體說明資安改進措施。若無法如預期在明年3月重獲谷歌信任,等於只是讓憑證失效的定時炸彈延後一年引爆,而非解決根本問題。
葛如鈞比喻,就像一個國際組織發現汽車製造商的產品有爆炸風險,訂出問題產品的落日停售時間;但製造商卻在停售死線生效前到處賣車,根本是擴大危險範圍,而主管機關竟無動於衷。
資安專家也解讀,在沒有重獲谷歌信任之前,「舊憑證就是被認為有風險,理論上不應再續用。」他認為,數發部要明確向大眾說明,中華電信憑證有哪些問題,呼籲各界暫停使用,改向其他機構申請;而數發部也應在暫緩使用期間進入調查、督導。
台灣的憑證安全,已在國際蒙上一層不信任陰影,作為網路與資通安全的主管機關,數發部沒有切割卸責的餘地。
