Google今年6月初宣布,自2025年8月1日起,Chrome浏览器将停止信任中华电信在该日期之后新签发的传输层安全通信协议(TLS)凭证,引发国内安全与网络服务业界高度关注。Google当时回应指出,此举是“为了保护Chrome用户安全,取消对中华电信新核发凭证的默认信任作为”,并非针对单一事件,而是基于整体凭证治理与合规评估结果。
对此,中华电信当时强调,相关状况并非因凭证本身存在漏洞、私钥外流,也不涉及实际安全或网络安全事件,但对于对社会大众与客户所造成的不便,表达歉意。中华电信董事长简志诚随后也对外说明,Google之所以做出取消信任的决定,主因在于过去一年间,中华电信未能即时回应Google所属凭证讨论社交媒体在技术规范与流程更新上的要求。尽管相关配合已于今年初完成,但因历史不合规记录已被披露于Mozilla公开技术论坛Bugzilla,导致外界与浏览器企业对其治理记录已有既定观感,最终Google仍决定自8月起停止默认信任。
在Google宣布政策后,中华电信自8月1日起全面暂停签发新的TLS凭证,并于7月底前完成协助既有客户更新或转换凭证,确保网站与服务运营不中断。同时,该公司启动根本性改革,针对旗下根凭证管理中心(CHT TrustRoot CA)进行组织、流程与治理结构的全面盘点与调整。
而在2025年的最后一天,中华电正式对外宣布,该公司已完成凭证治理转型升级,并通过国际第三方独立审核认证,正式向Google申请加入Chrome根凭证默认信任清单。据中华电说法,其凭证管理中心历经为期约半年的系统性重整,涵盖组织性能、管理流程、合规能力与治理机制,并已顺利通过WebTrust for Certification Authorities(WebTrust for CA)第三方审核,相关审核报告也已获浏览器企业认可,并于12月29日完成向Google提交申请 。
在制度与技术层面,中华电信表示,已导入多项自动化与多重验证机制,包括PKIlint、zlint等凭证验证工具,以及多面向凭证审查工具(Multi Perspective Issuance Corroboration),以提升凭证签发与管理流程的正确性与一致性。此外,也同步强化大规模凭证撤销与更换的应变能力,制定完整作业程序并完成多次实地演练,确保在极端场景下仍能维持服务稳定。
除了合规与治理调整,中华电信也指出,已主动推动凭证服务的前瞻技术升级,包括对外服务网站导入后量子加密(Post-Quantum Cryptography, PQC)防护机制,并通过ACME(Automatic Certificate Management Environment)协议,推动网站凭证生命周期的自动化管理,以提升整体服务效率与使用体验 。
不过,申请加入Chrome默认信任清单仍需经过Google既定的审查流程与社交媒体讨论机制,并非提交后即自动恢复信任资格。是否、以及何时能重新取得Chrome默认信任,仍有待Google与相关社交媒体进一步评估。中华电信则表示,未来将持续以“国际合规、技术领先、服务至上”为原则,强化治理体质,打造可信赖的数字凭证服务环境。
(首图来源:科技新报)
