中華電信旗下的根憑證管理中心(CHT TrustRoot CA)在歷經半年的系統性重整後,已經在日前順利通過國際 WebTrust for Certification Authorities(WebTrust for CA)的第三方獨立稽核,並在 2025 年 12 月 29 日向 Google Chrome 提出申請,尋求將其根憑證重新加入預設信任清單,以恢復正常的憑證發放地位。
歷經半年組織整頓,解決信任危機
此次重整源於 Google Chrome 先前宣布停止預設信任中華電信於 2025 年 7 月 31 日後所簽發的 TLS 網站新憑證;面對此規範變更,中華電信自 2025 年 8 月 1 日起全面暫停簽發新的 TLS 憑證,並在 7 月底前協助所有客戶完成憑證的更新與轉換,確保用戶營運未受中斷。
在暫停發證期間,中華電信針對憑證管理中心展開全面檢視,除了第一時間重組 CA 團隊架構外,更成立專責改善團隊,針對組織效能、管理流程、合規能力及治理能力進行系統性的盤點與優化,試圖以務實態度解決合規性問題。
導入自動化驗證工具,強化大量撤銷應變機制
在具體的制度與技術改善層面,中華電信導入了包括 PKIlint 與 zlint 等自動化憑證驗證工具,並採用多面向憑證審查工具(Multi Perspective Issuance Corroboration),藉此提升憑證簽發與管理流程的正確性。
此外,為了符合國際對於憑證機構的高標準要求,中華電信特別針對「短時間內完成大量憑證撤銷及更換」的情境制定完整程序,並執行多次實地演練,確保在各種突發狀況下皆能維持服務穩定。經過第三方專業機構確認,目前的整體運作水準已接軌國際標準,具備合規且穩定的體質。
佈局後量子加密技術,推動自動化管理
除了滿足現行的合規要求,中華電信也進一步指出,現已針對對外服務網站導入後量子加密機制(Post-Quantum Cryptography, PQC)進行防護,以因應未來的資安威脅;同時透過推動 ACME(Automatic Certificate Management Environment)協定,中華電信已建構出網站憑證生命週期的自動化管理機制,期望在符合高標準治理原則下,持續提升憑證服務的運作效率與安全性。
