Google 宣布 8 月起不再信任中華電信核發的憑證,逾萬個公私部門網站將受影響。但數發部卻強調只能管理「政府」網站,且依職權難以針對事件啟動調查,真是如此嗎?
一場看不見的數位風暴,即將於8月1日登陸台灣。身處風暴中心的主管機關數發部,卻未正視問題。
Google今年5月底宣布,自8月起,其Chrome瀏覽器將不再信任中華電信所簽發的TLS網站憑證,國內約有一萬個網站將受影響,許多網頁可能淪為資安破口。
「網站憑證」的功能,是被用來確保網頁的「身分正確」與「資料安全」。當你點進一個網站,伺服器會提供一個密件信封,讓你把指令封裝、寄出;隨後伺服器也以相同方式回傳資料,才能開始瀏覽網頁內容。
網站憑證就是那個「密件信封」,因為寫上正確收件地址,且信件加密封條,內容不會被偷看或竄改;一旦沒有憑證,就像寄出一張「明信片」,資訊不只暴露於眾,還可能被路人篡改內容及地址。
因此,點進一個「沒有憑證」的網站,使用者等於公開所有的個資、足跡,容易被駭客攔截或偽造資料,甚至讓你誤入偽冒的網站。
▲ 針對中華電憑證事件,數發部部長黃彥男6月時強調,今年初就掌握狀況,已針對「政府憑證」啟動因應機制,但被質疑只管半套。
數發部「做半套」監管消極
只顧政府網站 民間風險未解
Google在全世界找了67家機構提供憑證,其中包括台灣的中華電信和台灣網路認證公司(TWCA)。這次出包的中華電信,在國內核發憑證網站約1萬多個,其中政府機關占約8千個、民間企業占約2千個。
面對這場不信任風暴,主管網路資訊的數發部強調,針對政府委託中華電信申購的網站憑證,早在3月就啟動「雙憑證機制」,協助政府機關將憑證轉換到台網公司,目前已超過九成完成更新;至於二千多個民間網站,不在數發部掌管範圍,「屬於中華電信與民間公司的商業行為。」
由於憑證效期為一年,中華電信正趕在8月被撤銷前,提早協助民間企業客戶轉介或換發新憑證,以延續新一年時效。依照中華電信回覆本刊數字,今年7月31日前到期的企業客戶,已逾六成完成轉換或更新,而8月1日後到期的企業客戶,也正加緊處理中,但未透露具體進度。
儘管數發部一再強調,已超前部署啟動應變措施;但面對攸關全民資安的重大危機,數發部「只管政府、不理民間」的態度,仍引來專家質疑。
資安學者翻開《數位發展部組織法》指出,數發部職責是要協助「公、私部門」數位轉型業務,且有權訂定相關審驗規範。這次事件,除了政府憑證受影響,民間公司也遇到有損權益的不合理狀況,數發部理應督導、完善相關機制。
另名網路治理專家也點出,數發部確實是透過中華電信購買政府網站憑證,「但維運業務委外,並不代表法律與行政責任也委外。」他質疑,數發部3月就掌握狀況,早有機會積極介入調查,避免事態愈演愈烈。
(作者:陳子萱;全文未完,完整內容請見《今周刊》;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
