聯合報社論／遭谷歌撤銷憑證信任，是酬庸文化下的國恥

搜尋引擎谷歌（Google）日前宣布，八月起，其Chrome瀏覽器將全面撤銷中華電信的憑證信任。未來民眾只要瀏覽中華電信簽發憑證的網站，都將出現「不安全」的蓋版顯示畫面。如此，不僅讓民眾陷於資安危機，也讓台灣以不光彩的方式「被世界看見」。

在不良網站流竄下，網頁「安全憑證」是網路世界一道重要的屏障。由於中華電信的公股背景，在其憑證信任遭撤銷後，連政府機關的數位安全簽章都會被Chrome認定為「不安全」。谷歌開出第一槍後，其他業者是否會跟進，亦已引發外界高度關注。

谷歌撤銷中華電信憑證信任，原因包括：在憑證管理上多次失誤、對改進承諾未能履行及實質進展，導致其「作為公開信任憑證頒發機構的信任度下降」。谷歌的用字遣詞已算含蓄，早在去年七月，另一家瀏覽器業者Mozilla就曾對中華電信憑證管理做出更詳盡而嚴厲的批評。這證明，中華電信憑證管理問題至少二○二三年即已存在，因此早有傳言稱中華電信將遭制裁。這也印證，谷歌所謂「經過一年的觀察」，其來有自。

面對質疑，中華電信第一時間的聲明，卻僅強調自己的數位簽章都有法律效力、「並非憑證存在漏洞或私鑰洩漏」，而是「部分程序未在期限內完成」。中華電信還說，影響範圍僅七月卅一日後「使用Chrome瀏覽器時」，其他瀏覽器不受影響。一味粉飾太平、避重就輕。

直至連數發部也公開指責中華電信「管理與作業面機制處理不當」，中華電信才又補發「公開致歉」聲明，卻未認錯，並稱要幫憑證效期即將到期的客戶「免費更新」。中華電信憑證信任已遭撤銷，再幫客戶更新，對取得網頁憑證認可有何助益？

數發部的角色，同樣可議。數發部一面指責中華電信管理不當，一面說自己年初即已掌握此事，因此先行將政府網站採「雙憑證」機制因應。問題是，政府網站有「雙憑證」，但龐大的民間企業及社會大眾呢？身具公營事業背景，中華電信憑證信任遭撤銷造成的損失，又將由誰承擔？

此一事件，除影響許多民間或政府網站的正常運作，更糟的是，在「蓋版訊息」成為常態後，民眾對於具有危險性的詐騙、釣魚、惡意網站，可能逐漸失去警戒。如此一來，除了不方便，更將使民眾的財產甚至人身安全受到侵害。

中華電信作為國內電信業龍頭，竟會犯下如此低級的錯誤，令人難以想像。此事暴露，該公司的管理問題並非一朝一夕，政府卻因人事酬庸，坐視其發生。近年中華電信爭議事件頻傳，在在顯示其專業性已受到政治侵蝕；憑證信任遭到撤銷，只是百孔千瘡之一環罷了。

中華電信「酬庸文化」近年盛行，備受詬病。集團內多個子公司或轉投資事業多為綠營非專業人士。從管理看，中華電信儼然已由「公營事業」變成民進黨的「黨營事業」；外行領導內行，豈能不出問題？

去年「青鳥」在立院外聚集時，當時的民進黨政策會執行長王義川透露，曾以「手機信令」分析群眾人流的特性。當時提供「手機信令」的業者，就是中華電信。由於立法院並無調查權，司法又對此視而不見，此事不了了之。但中華電信為民進黨提供這種「特殊服務」，無論是否取得報酬，都極為不當。

中華電信在「酬庸文化」薰染下，專業日漸退化。民進黨執政九年，不斷強調「資安即國安」，只是拿來操作反中抗中，其實質卻是如此不堪。世界如此看見台灣，算得上國恥了！