(中央社记者高华谦台北14日电)Google Chrome去年停止缺省信任中华电信于2025年7月31日后签发的TLS网站新凭证,引发关注。监察院表示,数发部事后虽补救,但在风险觉察、监理强度及制度设计等面向仍有检讨必要,中华电信在凭证管理及合规作业也待改进。 监察委员赖鼎铭、叶宜津今天通过新闻稿表示,民国114年5月传出中华电信营运的政府服务器数字凭证管理中心(GTLSCA)凭证,将遭Google Chrome撤销信任,影响范围涵盖政府网站、公共服务入口及相关数字应用,恐导致民众连接受阻或误判为不安全网站,冲击政府数字服务信任基础。 监委说,数发部事后虽推动政府网站双凭证机制、完成全面换证作业,并通过契约裁罚及调整人力等方式补救,但在风险觉察、监理强度及制度设计等面向,仍有检讨精进必要。 监委指出,本案肇因中华电信GTLSCA于113年间接连发生多起违反国际凭证规范(Baseline Requirements,BR)情形,包括凭证格式错误及未于规定时限内撤销等重大缺失,且涉及数千至上万张凭证,显示其内控及合规机制仍有不足。 监委强调,数发部作为政府公开密钥基础建设(GPKI)的主管机关,并肩负台湾信息产业推动及资通安全政策统筹角色,虽已通过外部稽核、营运报告及契约机制管理,但113年上半年出现违规征兆时,未能及时强化监督或要求创建有效检核及应变机制,对违反凭证撤销时效严重性也未充分认知,导致风险逐步累积。 监委说,此外,数发部事后对外说明时,将相关责任定位于委外契约关系,与其作为信息产业推动及资通安全主管机关角色有明显落差,宜检讨改进。 监委指出,现行凭证检核及外部稽核多属定期或事后查核,未能因应国际凭证体系即时自动化检核趋势,也未事先创建大规模凭证撤销授权及应变机制;另政府凭证及数字信任体系已具跨机关关键基础设施特性,却尚未纳入关键信息基础建设相关安全防护架构管理,于风险辨识、系统相依性及持续营运等面向,仍有必要检讨强化。(编辑:杨兰轩)1150414 选择与事实站在一起,您的每一份赞助,都是守护新闻自由的力量 下载中央社「一手新闻」APP,即时掌握最新消息 本网站之文本、图片及影音,非经授权,不得转载、公开播送或公开传输及利用。