立委葛如鈞。李政龍攝
Google先前宣布撤銷中華電信所簽發的TLS憑證信任,引發資安風暴,國民黨立委葛如鈞今(7/10)日召開記者會爆料,另一家Mozilla旗下運營的瀏覽器Firefox也有類似措施。葛如鈞質疑,政府雖稱已有「雙憑證備援」,實際因應措施只做半套,他呼籲數發部應清查政府網站並修法規範,否則資安不存,國安何在?
Google今年5月30日宣布,自8月1日起,Chrome將不再信任中華電信核發的TLS憑證,Firefox也已於6月26日完成漸進式不信任設定,屆時民眾透過這些瀏覽器造訪政府交通部、數發部等網站,恐將看到紅色警示畫面,甚至遭完全封鎖,影響重大。
葛如鈞今召開《資安大崩壞 世界都在看!賴政府「資安即國安」淪國際級笑話》記者會直言,台灣在數位世界,已經瀕臨「信任死亡」,台灣的資安信任體系正面臨前所未有的挑戰。
葛如鈞舉例辦公室調查顯示,行政院31個部會中,有14個仍使用中華電信憑證,占比45.1%,與已轉用TWCA憑證者比例相同,另有3個直接改用國外憑證。假如排除採用國外憑證的3個部會,採用中華電信憑證和TWCA憑證的部會各佔50%,不符中華電信對外聲稱「雙憑證轉換率近百分之百」的說法。
葛如鈞指出,數發部雖然聲稱今年3月就啟動超前部屬,實測卻顯示,交通部、農業部與數發部網站還在用中華電信憑證,在憑證失效狀況下,頁面直接跳出資安警告,無自動切換至備援憑證,證明「雙憑證」根本未落實,「有這樣的資安政策,還談什麼國安?」
不僅政府網站面臨風險,就連民間產業也已經遭殃,葛如鈞透露,已有多家電商業者向他陳情,擔憂消費者因資安警告而不敢進入平台,造成信任危機、訂單流失與商譽受損。他質疑政府毫無作為,是不是在為官股中華電信護航,放任信任機制全面崩解,到時憑證到期,政府網站顯示黃色、紅色警告,變得和詐騙、釣魚網站沒兩樣,隨時存在核彈級資安風險,恐更淪為國際笑話,讓友邦質疑台灣是否淪為「詐騙之島」。
葛如鈞呼籲,數發部立即採取三項措施:一、全面盤點三級以上機關網站,確保啟用具自動切換功能的雙憑證;二、儘速修訂《電子簽章法》,納入伺服器憑證管理機制;三、協助受影響的民間業者,提出補救與轉換方案,平穩度過信任危機。