專家：谷歌開第一槍 恐掀連鎖反應

資安業者表示，雖然目前僅有谷歌（Google）宣布暫停信任中華電信簽發的憑證，對Apple、Microsoft等其他瀏覽器陣營尚未產生實質影響，但瀏覽器之間在維護網路信任架構上具高度共識，一旦谷歌開出第一槍，不排除引發連鎖反應。

ＫＰＭＧ數位安全顧問服務負責人邱述琛說，網路使用者的基本期望，就是他們瀏覽的網站，必須要是真實且正確，中華電信在台灣扮演網站真實性的憑證簽發機構之一，而像谷歌這樣的全球領導瀏覽器，在評核中華電信的安全維運狀況後，信賴其簽發的網站憑證，雙方充分合作讓網路使用者放心瀏覽網站，或收到可疑網站的預警。

邱述琛說，瀏覽器廠商對憑證機構有很高的期待和要求，期待落實審驗、謹慎核發，更重要的是，當發現問題時要能夠迅速處理，才能有效控制影響範圍，這正是目前政府大力推動反詐工作中，相當重要的一環。

邱述琛說，這個信賴結構須經長期且嚴格考驗才能建立，一旦被破壞，重建要花更多心力和時間。這次事件讓外界發現這個領域相當專業，未來無論人才培育或組織分工，都需要仔細評估，避免事件重演。

數發部數位政府司司長王誠明昨說，年初就已掌握此事，當時谷歌還未明確決定把中華電信從信任清單移除，不過，當時數發部認為，如果真的被移掉，對政府機關網站影響較大，所以決定採用「雙憑證」備援機制，確保還有另一個憑證可用，三月起就已提前採用雙憑證備援機制因應。

王誠明表示，谷歌不信任中華電信的憑證，並非資安技術或標準問題，主要是中華電信在管理和作業面的機制沒處理好，「所以谷歌才強調中華電信在管理和作業回覆上沒有很好，才會造成這樣的不信任」，數發部與中華電信是委外契約關係，後續憑證若無法發，現在的雙憑證也能因應，所以「這不是資安議題」。

王誠明說，數發部的備援採用台灣本土憑證機構所簽發的憑證，會確保政府網站在各主流的瀏覽器上皆能持續安全運作，保障民眾瀏覽體驗不中斷。