谷歌宣布8月起不再信任中華電信核發的憑證,逾萬個公私部門網站將受影響。但數發部卻強調只能管理「政府」網站,且依職權難以針對事件啟動調查,真是如此嗎?
一場看不見的數位風暴,即將於8月1日登陸台灣。身處風暴中心的主管機關數發部,卻未正視問題。
全站首選:吳恭銘觀點》小草「義無反顧投誠解放軍」不知失去尊嚴與生存保障
谷歌(Google)今年五月底宣布,自8月起,其Chrome瀏覽器將不再信任中華電信所簽發的TLS網站憑證,國內約有一萬個網站將受影響,許多網頁可能淪為資安破口。
「網站憑證」的功能,是被用來確保網頁的「身分正確」與「資料安全」。當你點進一個網站,伺服器會提供一個密件信封,讓你把指令封裝、寄出;隨後伺服器也以相同方式回傳資料,才能開始瀏覽網頁內容。
網站憑證就是那個「密件信封」,因為寫上正確收件地址,且信件加密封條,內容不會被偷看或竄改;一旦沒有憑證,就像寄出一張「明信片」,資訊不只暴露於眾,還可能被路人篡改內容及地址。
因此,點進一個「沒有憑證」的網站,使用者等於公開所有的個資、足跡,容易被駭客攔截或偽造資料,甚至讓你誤入偽冒的網站。
數發部「做半套」監管消極 只顧政府網站 民間風險未解
谷歌在全世界找了67家機構提供憑證,其中包括台灣的中華電信和台灣網路認證公司(TWCA)。這次出包的中華電信,在國內核發憑證網站約1萬多個,其中政府機關占約8千個、民間企業占約2千個。
面對這場不信任風暴,主管網路資訊的數發部強調,針對政府委託中華電信申購的網站憑證,早在3月就啟動「雙憑證機制」,協助政府機關將憑證轉換到台網公司,目前已超過9成完成更新;至於2千多個民間網站,不在數發部掌管範圍,「屬於中華電信與民間公司的商業行為。」
由於憑證效期為1年,中華電信正趕在8月被撤銷前,提早協助民間企業客戶轉介或換發新憑證,以延續新一年時效。依照中華電信回覆本刊數字,今年7月31日前到期的企業客戶,已逾6成完成轉換或更新,而8月1日後到期的企業客戶,也正加緊處理中,但未透露具體進度。
儘管數發部一再強調,已超前部署啟動應變措施;但面對攸關全民資安的重大危機,數發部「只管政府、不理民間」的態度,仍引來專家質疑。
資安學者翻開《數位發展部組織法》指出,數發部職責是要協助「公、私部門」數位轉型業務,且有權訂定相關審驗規範。這次事件,除了政府憑證受影響,民間公司也遇到有損權益的不合理狀況,數發部理應督導、完善相關機制。
另名網路治理專家也點出,數發部確實是透過中華電信購買政府網站憑證,「但維運業務委外,並不代表法律與行政責任也委外。」他質疑,數發部3月就掌握狀況,早有機會積極介入調查,避免事態愈演愈烈。
( 本文獲今週刊授權轉載,更多內容,請參閱最新一期《今周刊》第1489期)
政府發1000元「數位客家幣」全民可抽、7月登記!兩類人不用抽就有…領取方式、資格、怎麼用一次看
https://www.businesstoday.com.tw/article/category/183030/post/202506180063/
0056配息0.866元、年息10%!明明有底氣配1.07元卻縮水?超馬芭樂0056存股17年、為何力挺「不要配太多」?
https://www.businesstoday.com.tw/article/category/183013/post/202506300029/

圖:今周刊 / 提供