搜尋
搜尋
  • 12

Google 拔除 中華電信 TLS 憑證信任 葛如鈞:核爆級災難

前往頁尾
IQuit
IQuit
IQuit
  • IQuit
  • 個人積分:9256分
    文章編號:91717756
9256分
樓主
2025-06-16 19:37
hack.pc wrote:
去看看這篇吧,受影響不單是網頁。

不只數位信任失效,更是顧客信任崩壞

重點:
中華電信自己維運的「ePKI商用憑證」沒有發生同樣的問題,而另一個負責承包政府GTLSCA的維運團隊卻出包,導致「商用沒問題,政府用的有問題」的弔詭情況,這凸顯出中華電信不同部門溝通不良的組織管理問題。

Google失去對中華電信的數位信心,才會不只撤銷了次級憑證管理中心GTLSCA的根憑證,連同上屬的中華電信商用憑證ePKI Root CA根憑證都被撤銷。

許多企業長年租用中華電信機房、網路,多半順便租用相關的網路憑證,尤其是政府機關及其外包廠商。大型臺灣企業也多半選用臺灣在地的網路憑證業者,不是臺網就是中華電信的憑證。

電商平臺,醫院掛號網站(過去曾發生過醫院網站因憑證過期而當機)一但當機,會大大影響了所有顧客和病人


信任問題,
前面 我 說過了.

CHT 管它是 哪個部門或團隊,
都是 CHT.
nwcs
nwcs
nwcs
  • nwcs
  • 個人積分:5977分
    文章編號:91719726
5977分
102樓
2025-06-17 9:28
IQuit wrote:
信任問題,前面 我 ...(恕刪)
這不只是信任問題,還有營運的合約問題,這算不算違約或必須改善的瑕疵,因此導致網站流量下降,或運作遭受阻礙,可以求償嗎 ?
目前政府直接裝死,不是施壓CHT這個官派董事長的官方民營企業,8/1前完成改善,而是叫客戶自己轉其他家憑證,自行逃生。政府這種側面鼓勵網路詐騙的行為,才是令人發毛的地方。
squcookies
squcookies
squcookies
1588分
103樓
2025-06-17 10:32
nwcs wrote:
這不只是信任問題,還有營運的合約問題,這算不算違約或必須改善的瑕疵,因此導致網站流量下降,或運作遭受阻礙,可以求償嗎 ?
目前政府直接裝死,不是施壓CHT這個官派董事長的官方民營企業,8/1前完成改善,而是叫客戶自己轉其他家憑證,自行逃生。政府這種側面鼓勵網路詐騙的行為,才是令人發毛的地方。


7/31前TLS憑證發了Google就還給用要如何違約?
Google都給你三個月緩衝期就是要你換CA了,你還不快換?
再來誰說8/1完成改善Google就會立刻加回?都至少鎖半年啦


本樓一堆不懂憑證又腦補太多的政治腦洗文,看了很煩
cazzx
cazzx

具體是怎樣換 CA 的?

2025-06-17 16:08
IQuit
IQuit
IQuit
  • IQuit
  • 個人積分:9256分
    文章編號:91720187
9256分
樓主
2025-06-17 10:38
nwcs wrote:
這不只是信任問題,還有營運的合約問題,這算不算違約或必須改善的瑕疵,因此導致網站流量下降,或運作遭受阻礙,可以求償嗎 ?
目前政府直接裝死,不是施壓CHT這個官派董事長的官方民營企業,8/1前完成改善,而是叫客戶自己轉其他家憑證,自行逃生。政府這種側面鼓勵網路詐騙的行為,才是令人發毛的地方。


前面 說過,
最有用的是 叫 部長 去 立法院 罰站,
所有事 光速 解決.
nwcs
nwcs
nwcs
  • nwcs
  • 個人積分:5977分
    文章編號:91722699
5977分
105樓
2025-06-17 17:03
squcookies wrote:
7/31前TLS憑證...(恕刪)
你這邏輯很清奇,想請教:

7/31前TLS憑證發了Google就還給用要如何違約?
========================
如果這構成違約,那8/1之後呢 ? Google都給你改善期了,不趁8/1前改善,直接等到8/1之後直接違約嗎 ? 這種心態還真是有夠清奇


Google都給你三個月緩衝期就是要你換CA了,你還不快換?
=========================
CHT發的憑證不被Google承認,結果不是要求CHT改善,而是要受害網站自己換CA,這是把CHT臉直接踩在地上磨擦阿。順便說一下,CA申請可是要錢的,我幫客戶更換網站憑證也是要收費的,這錢,你出嗎 ?

再來誰說8/1完成改善Google就會立刻加回?都至少鎖半年啦
======
這都幾年了,你都知道,了CHT、政府還繼續裝死,實在是可惡到家.....

你的論點,忽略了,網站是跟CHT簽約、申請CHT發的憑證,跟Google一點都沒關係。你的說法好似CHT根本沒責任、不關他的事,這真的說不過去。

會要求政府出面,原因有2:1.出事的多是政府機關,NCC責無旁貸。2.CHT是公家民營企業,由政府掌控的全台最大ISP,也是政府機關甚至公、民營企業網站最大市佔率的網路商,影響不能說不大。於公於私,政府都該出面來協助改善、解決。這是事實、邏輯問題,你如果硬要扯政治,台灣的政治是沒有是非可言的,那你高興就好......

邏輯很簡單:我跟CHT簽約、申請CHT發的憑證,上面雙方是我跟CHT,完全跟Google沒關係,不找CHT算帳,去找Google吵,或是該自己吞下去,另外申請憑證,CHT完全可以當沒事,這是不是哪裡怪怪的 ?
SET610
SET610
SET610
  • SET610
  • 個人積分:72分
    文章編號:91723094
72分
106樓
2025-06-17 18:42
nwcs wrote:
你這邏輯很清奇,想請...(恕刪)


TWCA申請:1200元/2個工作天。

網站經營者沒需要置氣,先解決問題,所以看來大家都已經更換了。
既然問題解決了,就不需要浪費大家時間資源在這討論了,除非是單純要批評。

個人覺得社會需要多一點做實事、解決問題的人,單純批評對社會貢獻不是那麼多呀!
cazzx
cazzx

是的,政府不做事,就自己來,又叫人換瀏覽器,又叫人換 CA 的;要嘛把 Chrome 丟了,要嘛把中華電信 CA 丟了,高招。

2025-06-17 19:12
squcookies
squcookies
squcookies
1588分
107樓
2025-06-17 19:12
nwcs wrote:
你這邏輯很清奇,想請...(恕刪)


你才不懂憑證運作,從你講的內容就知...
實在很難跟你辯解....

而且誰在幫CHT說話?你最好中文好好讀,他們已經出局了,最近新聞他們分公司的總經理也被記過懲處。
他們現在只能趕快跟8/1後還簽約的停一停賠一賠幫轉其他CA
8/1哪叫改善期?是死亡期啦。
今天他重新取回信任也沒辦法在8/1加回
懂嗎?
你現在的邏輯就是8/1判刑定讞了還想拼緩刑?
就跟你說不可能了...
只能先關一陣子看表現良好再假釋出獄啦

-----------------------------------------

另外我是說這串很多在扯政治,我沒說誰,明眼人都知
講一兩句還會支持,洗一整版都在講,如有人要對號入座隨便。
cazzx
cazzx
cazzx
  • cazzx
  • 個人積分:141分
    文章編號:91723376
141分
108樓
2025-06-17 19:58
nwcs wrote:
你這邏輯很清奇,想請...(恕刪)


其實這個問題,我之前有問 ChatGPT,因為我是比較好奇實際情況是怎樣
但遺憾的是,版上很多人指責別人不懂,但是請他說明又說不出個所以然
只是不斷地把別人的公告復述一遍,然後繼續說別人不懂...

先聲明,我還是不懂,因為沒實際架站。據 GPT 所說,「憑證交叉簽章」
就是用來幫助轉移上層 CA 的。比如說現在 Google 不信任中華電信 CA 了,
那很抱歉,不是什麼 8/1 前後的問題,他原本這條中繼 CA 的路線就是掰掰了
先前簽的也沒用,因為此路就是不通!但是它可以另開一條路,交叉簽章另一
個上層 CA 並且請網站更新新的 CA 憑證鍊,那麼在 8/1 之前簽的還可以繼續
使用。這邊的重點是說,很重要,你不是什麼事情都不用做,就可以繼續使用,
中華電信要做事,網站也要配合做事,才能暫時續命。

這裡衍生幾個問題,比如說那他就一直用這招,繼續簽証書,不要理會 Google
就好了,可惜不行,因為大家都知道 8/1 之後,Google 就不會信任他,你如果
硬要幫他簽,到時候你也會遭殃。然後就是換瀏覽器這件事,GPT 是說,這件
事其實是共同討論做決策的,中華如果繼續擺爛,遲早其他家也會把他撤銷的,
不要聽信中華,中華的嘴,是騙人的鬼。(這是 GPT 說的,待查證)

當然,如果真的了解實情的人,可以說明一下會更好,這樣可以幫助大家了解
也可以達到你想澄清的目的,而不是什麼都不說出來,就講別人不懂怎麼運作。
squcookies
squcookies
squcookies
1588分
109樓
2025-06-17 22:36
cazzx wrote:
其實這個問題,我之前...(恕刪)


用簡單的舉例很容易被針對內容做模糊焦點攻擊
但我也只能這樣簡單跟你說明希望你懂,內容細嚼一定有問題

你可以把TLS當成是種國際的印鑑(或簽名)證明,效期有一年,在此假設一些跨國事務所/區公所(CA)都能發
用印章(金鑰)進行驗證(加密)交易,本國區公所(GCA)在銀行M(Mozilla)很早就有打槍紀錄先不談

今天A公司(網站)有去事務所C(CHT)辦公司的印鑑證明,但該事務所C這幾年處理瑕疵過多未改善
像是拿舊的印鑑證明直接改日期....繼續下去會影響安全性甚至有人利用漏洞造假交易可能
某最大國際銀行G(Google)表示,我之前警告過事務所C了,但為避免衝擊民生
8/1後這間事務所發的印鑑證明將不會被承認
我沒立即中止就表示還有改善空間,你們給我提交檢討報告跟改善施作成效
半年後開會我再看你這改得如何再考慮要不要恢復你的資格

(User)你拿A公司7/31前的蓋用印來銀行還是會讓你進門辦業務
但如果A公司8/1後才去事務所C申請印鑑證明
你交易時銀行G會問你:「我沒看到有效的印鑑證明,你真的要轉帳給A公司嗎?不安全喔?」
這時A公司只能去別的事務所T(TWCA)辦印鑑證明再蓋用印給客戶

當然事務所C內部一定會被懲處,你怎麼做了讓銀行G不信任的事?
當然他還是能照常發印鑑證明,但銀行G會對8/1後的證書都當沒有存在去警告客戶
最後事務所C會流失大量客戶,歷史上被拔掉CA的很高機率日後都不發簽證直接關掉業務

根憑證比較像你(User)或事務所的印鑑證明,只有少數的更安全機構能發行
這些CA的TLS會內建在瀏覽器給個人使用
銀行會確認三方都有有效的印鑑證明才會同意後續其他驗證與交易,否則他都會提醒你交易有風險。
nwcs
nwcs
nwcs
  • nwcs
  • 個人積分:5977分
    文章編號:91725918
5977分
110樓
2025-06-18 11:31
squcookies wrote:
你才不懂憑證運作,從...(恕刪)
我不敢說有多懂,可以請你根據我的回文內容,一一回答解惑嗎 ?

這樓其實已經討論得差不多了,至於實際影響,要等8/1之後才知道。但可以確定的是,一定有隱憂,而且這隱憂大到網站營運方不得不解決,所以才有轉其他家憑證的逃亡潮出現。

我目前只關心2點:
1.政府公部門的網站憑證,尤其是交通、財政2部網站,還有許多未完成轉移的,這些真的要拖過8/1 ? 然後讓大家一連上就來個,這不是私人、不安全連線警示,然後按進階,仍然連線 ? 還是要大家跟以前的政府官網一樣,你不用IE就死給你看,現在是8/1之後你敢用Chrome就警告給你看 ? 這種形象對台灣應該不是好事。數發部、NCC除了點麵線、想收750,好歹也該幹點正事吧 ?

2.CHT要如何善後,你一定要拖到2026/3 ? 是真的要改善那還好,如果是賭台灣人腦容量不足,到明年就忘記當沒事,那就這樣吧。CHT是台灣最大網路公司,政府監管單位,不該出來喊個聲要求謹慎處理,儘速改善 ?

以上攸關台灣國際形象、台灣最大網路公司作為,執政黨如果擺爛,也不鳥在野黨,那執政黨立委除了大罷免、改路名,是不是也該去關心一下 ?
  • 12
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 12)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?