因應 Chrome 停止信任中華電信憑證之更新建議

事件概述

Google 於 2025 年 6 月宣布，因中華電信（HiNet）未能在期限內完成憑證合規調整，Chrome 瀏覽器將自版本 139 起，停止預設信任中華電信於 2025 年 8 月 1 日後簽發的新 TLS 憑證。此變更將影響 Windows、macOS、ChromeOS、Android 和 Linux 平台上的 Chrome 瀏覽器。iOS 版 Chrome 因受 Apple 政策限制，暫不受影響。

原因與影響

根據 Google 的說明，中華電信及另一家 CA 業者 Netlock 在合規性改善上未達標，且對公開披露的事件報告缺乏實際且可被衡量的作為，導致信任度下降。因此，Google 決定從 Chrome 139 開始，移除對中華電信新憑證的預設信任。
此變更可能導致使用中華電信新憑證的網站在 Chrome 瀏覽器中顯示安全警告，影響用戶瀏覽體驗。根據 Statcounter 的統計，Chrome 在全球瀏覽器市場的市占率約為 65%，在臺灣更高達 70%，因此影響範圍廣泛。

中華電信回應與政府因應措施

中華電信表示，未能在 Google 規定的時間內完成憑證合規調整，導致被移除預設信任。目前已完成相關調整，並符合新政策要求，預計於 2026 年 3 月重新回復 Chrome 瀏覽器的預設信任。中華電信強調，憑證本身並無漏洞或私鑰洩漏問題。
數位發展部指出，已於 2025 年 3 月啟動政府網站雙憑證機制，採用符合公開信任根憑證標準的本地憑證機構所簽發的憑證，確保政府機關網站在各瀏覽器均能正常瀏覽，維持公共服務的穩定性與可信度。

建議處理方式

在 2026 年 3 月中華電信憑證預計回復被 Chrome 信任之前，使用其憑證的網站若出現安全警告，可採取以下措施避免影響用戶體驗與品牌信任度：

避免影響憑證使用之建議處理方式

1. 導入替代 CA（憑證機構）的 TLS 憑證

向其他受 Chrome 信任的公開憑證機構（CA）申請新的 TLS 憑證，立即解決信任問題，例如：

• Let’s Encrypt（免費）
• DigiCert
• GlobalSign
• Sectigo

2. 實施「雙憑證機制」

部分大型機關與企業會同時部署：

• 一張中華電信憑證（供內部或特定瀏覽器使用）
• 一張受 Chrome 信任的替代憑證（供一般訪客）

可透過 SNI（Server Name Indication）或反向代理設定，根據不同 User-Agent（瀏覽器）提供對應憑證。

3. 使用 CDN 或反向代理平台提供的憑證

• 若網站透過 Cloudflare、Akamai、Fastly 等 CDN 服務，這些平台通常可提供受信任的 TLS 憑證並自動部署。
• 使用 CDN 可快速緩解憑證信任問題，且具備額外的加速與安全防護功能。

4. 主動通知使用者／顧客

若短期內無法替換憑證，建議在網站或通訊中公告，可降低用戶流失與信任受損：

• 當前的安全警告原因
• 強調資料仍經加密且未遭竄改
• 預計修復時間

5. 追蹤憑證更新與 Chrome 支援狀態

建議 IT 團隊持續追蹤，避免在 2025 年 8 月後仍用未替換的中華電信新憑證簽發之站點。：

• 中華電信 CA 的復信進度（可關注 Google Chrome 根憑證政策更新）
• Chrome 的釋出版本（Chrome 139 起停止預設信任）

參考資料

• iThome
• Google 安全部落格：Chrome 根憑證政策說明
• Statcounter 全球瀏覽器市占率統計

歡迎填寫表單與我們聯繫>>立即聯絡