國民黨立委葛如鈞今天(10日)痛批數位發展部面對中華電信TLS伺服器憑證遭Google與Mozilla撤銷信任一事,處理態度敷衍、推諉卸責;他的辦公室實地測試,採用中華電信憑證與TWCA憑證的部會各占50%,和中華電信回文稱「雙憑證轉換率接近百分之百」有很大落差,所謂「雙憑證機制」根本是「超前卸責」世紀大騙局,「資安即國安」淪國際級笑話。
葛如鈞表示,連政府網站都可能被標示為有安全疑慮,民眾不敢進交通部、數發部官網,這樣的資安政策還談什麼國安?Google早在5月30日就宣布,8月1日起停止信任中華電信簽發的TLS憑證,Firefox更在6月26日緊接完成漸進式不信任的設定。這等於宣告:台灣在數位世界已瀕臨「信任死亡」,資安信任體系正面臨前所未有挑戰。
面對核彈級資安事件,數發部雖聲稱早在3月就「超前部署」,葛如鈞表示,但實情是,交通部、農業部甚至數發部自己仍繼續使用中華電信憑證,且根本沒有設定好「自動切換」雙憑證備援機制。實地測試,憑證一旦失效,這些政府網站不是自動切到TWCA(台灣網路認證公司),而是直接跳出資安警告畫面。連數發部都沒落實雙憑證驗證,更遑論其他部會?
據葛如鈞辦公室調查,行政院所屬31個部會,仍有14個部會使用中華電信憑證,占比高達45.1%;另有14個已轉用TWCA,占比同樣是45.1%;剩下3個部會直接改用國外發行的伺服器憑證。排除採國外憑證的3個部會,則目前行政院所屬各部會,採中華電信憑證與TWCA憑證各占50%,和中華電信回文稱「雙憑證轉換率接近百分之百」有很大落差。
葛如鈞說指出,這場信任危機不僅波及政府機關,也外溢到民間產業。他接到多家電商業者陳情,擔心消費者進入平台時跳出資安警告畫面,造成信任危機、訂單流失、商譽受損。更何況更換憑證要時間、成本、技術支援,數發部難道要把責任往外推嗎?
葛如鈞呼籲,數發部做為主管機關應儘速亡羊補牢,包括:全面清查行政院所屬三級以上機關網站,確保全部建置具自動切換的雙憑證機制,不是只做半套;儘速修法,《電子簽章法》應明確納入伺服器憑證規範,強化法制、明確監管,不能再拿法律漏洞當藉口;最後,協助民間由數發部出面,協調中華電信全面檢討,造成信任憑證被撤銷的管理問題與資安原因,並提出補救方案,協助受害業者平穩過渡。
他也警告,回顧過去Google與Mozilla撤信的國家案例,多集中於哈薩克、匈牙利與對岸等威權或政治上具高度爭議的國家,因此資安破口更是民主破洞,賴政府一邊高喊「資安即國安」,一邊卻讓全國超過一半的政府網站處於資安危機邊緣,這樣的雙重標準,不只是笑話,更是國安災難。
