國民黨立委惹如鈞今(10日)召開記者會,就谷歌(Google)與Mozilla宣布自8月1日起將撤銷對中華電信TLS伺服器憑證信任,抨擊政府部會近半部會仍使用中華電信的憑證,恐成為資安、詐騙大破口。讓中華民國董事長簡志誠因此緊急召開記者會,指責葛嚴重影響中華電信商譽。葛如鈞則回應,他的記者會重點在於督促數發部,中華電信反過來指責民意代表讓其商譽受損,是不是搞錯了主題跟咎責對象?
葛如鈞說明,5月30日,Google與Mozilla宣布自8月1日起將撤銷對中華電信TLS 伺服器憑證的信任,火狐(Firefox) 更宣布將溯及4月15日不信任,屆時,民眾登入被撤銷憑證的網站會看到大大的「不安全」,詐騙、釣魚網站更可能會趁虛而入,幾乎所有政府機關網站都受影響。
葛如鈞接著抨擊,當時數發部回應早在3月已經超前部署,幾乎所有的政府網站均有「雙憑證機制」,但實際上根本是場「超前卸責」的世紀大騙局。許多部會、甚至數發部本身到現在仍繼續使用中華電信憑證,而且這些政府網站根本沒有設定好「自動切換」雙憑證備援機制。
葛如鈞表示,實地測試,憑證一旦失效,這些政府網站也沒有自動切到TWCA,而是直接跳出資安警告畫面,等同宣告台灣在在數位世界,已經瀕臨「信任死亡」。其中,交通部、農業部的憑證發行日期就在4月15日後,將直接受到Firefox 更新的影響,未來點入這兩個部會就會出現大大的驚嘆號、不安全,這樣數發部、中華電信還敢說民眾使用不受任何影響嗎?Google 全球資安團隊提出的問題怎麼會不是資安問題呢?
葛如鈞更指,目前行政院所屬31個部會中,仍有14個部會使用中華電信憑證,占比高達45.1%,扣除3個部會直接改用國外所發行的伺服器憑證,佔比更是高達50%。當政府網站可能被標示為有安全疑慮,民眾連交通部、數發部官網都不敢進,更可能成為詐騙、資安的大破口,有這樣的資安政策,還談什麼國安?「資安即國安」在賴政府手中,淪為國際級笑話。
簡志誠則召開記者會回應,葛如鈞發言已經嚴重影響到中華電信商譽,他先前已經說明清楚,任何由中華電信核發的憑證,其效力將持續至憑證本身的到期日,不會因為過了7月31日就失效或不被信任。 所有中華電信發出的憑證,在7月31日之後仍然持續有效,沒有失效或信任問題, 憑證的本質是網站的「合法身分證」,屬於全球性的商業機制,與資訊安全乃至國家安全問題無關。
簡志誠更指,針對有心人士刻意將網站的有效憑證手動刪除,再宣稱該網站無法連線的作法,官方直指這是誤導,網站刪除憑證後當然無法運作。就像把身份證自己燒掉一樣,當然會失效。
葛如鈞也再回應,簡志誠將他模擬「刪除憑證」的示範比喻為「自己把身份證燒掉」,但數發部聲稱已經超前部署完成「雙憑證」機制,如果今天模擬憑證被刪除是「燒掉身分證」,那依照數發部說法,當身分證無效,駕照、健保卡是不是應該可以馬上補上?
葛如鈞強調,今天記者會的重點從來都不在中華電信,而是在數發部說的「雙憑證機制」根本無效!更何況實際操作使用的是「刪除或取消信任」,根本沒有真的燒毀;此外,就算不刪除而是改用「編輯信任」功能取消勾選信任的結果也會一樣,中華電信是執行端、不是決策者,請中華電信不要對號入座,也期盼外界不要模糊焦點。
