*****************************************
*****************************************************************
淪詐團工具 自然人憑證存廢掀議
10餘家銀行暫停此類方式開戶 在野憂資安危機
04:10 2025/06/09 中國時報 黃琮淵 、 崔慈悌 、 張睿廷
自然人憑證名存實亡?詐騙手法猖獗,自然人憑證遭盜取後開戶案例層出不窮,銀行不得不築起防線,包括台灣銀行、第一銀行、兆豐銀行、台新銀行、台北富邦銀行等,超過10家公民營銀行,即日起喊停以自然人憑證作為線上開立數位帳戶的身分驗證方式,等同全面排除自然人憑證的「數位身分證」地位。
390萬人持證 廣泛用於民生服務
金融圈直言,表面上看來,這只是金融機構為防止自然人憑證被濫用的折衷作法,但此舉等同否定自然人憑證的用途,如果連銀行都不認同自然人憑證等同個人親臨櫃台開戶,代表自然人憑證已「沒什麼路用」,政府應盡快檢視數位憑證政策,甚至考慮其存廢。內政部資服司表示,申請人應妥善保管及使用憑證,切勿將自然人憑證及密碼交付他人使用,以免協助歹徒詐騙又上當受騙。
自然人憑證服務除了眾所周知的線上報稅、勞保系統查詢、個人化資料自主運用(MyData)外,還可應用於台灣電力APP、台灣自來水APP、網路銀行、全民健康保險、交通部監理服務網查詢應用等多項民生服務。內政部指出,自然人憑證可使用於484個公務應用系統、381個民間應用系統,在效期內的持證人數約380萬至390萬人。
2019年底全球爆發新冠肺炎,許多系統都採用自然人憑證,根據統計,台灣從2019年有1億7176萬人次使用,一路攀升至2021年的3億7313萬人次,疫後略減,但去年仍有3億5526萬人次。
金管會規定,數位帳戶依其開戶方式,可分成3大類:第1類為自然人憑證,其效用幾乎等同臨櫃,權限最高,每月轉帳金額可達20萬元,其次為第2類的晶片金融卡,與第3類帳戶採信用卡或銀行帳戶驗證。
看準自然人憑證開戶等同臨櫃,詐騙集團也將腦筋動到自然人憑證上,詐團近期以協助代辦貸款名義,詐取民眾自然人憑證、密碼及身分證影本後,再大量開設數位存款帳戶,讓民眾最終淪為人頭戶,在找不到禁止自然人憑證開戶的法源依據下,目前只能先喊卡。
遭騙證開戶 被害人慘淪人頭戶
目前包括台銀、土銀、合庫銀、一銀、華南銀、彰銀、台企銀、兆豐銀等8間公股行庫,以及台新銀、永豐銀、台北富邦銀行、高雄銀、京城銀等民營銀行,都已宣布暫停接受自然人憑證開立數位帳戶,且沒有恢復日期。
銀行主管指出,自然人憑證就像「數位版的國民身分證」,理應比身分證更安全,不過從去年下半年開始,警覺到以自然人憑證開立的數位帳戶,變成警示帳戶的愈來愈多,這可能是詐團直接取走被害人的自然人憑證,逕行開戶。
據透露,詐團通常是在網路上、LINE上打出代辦貸款廣告,吸引民眾申辦信貸,進而索取被害人的自然人憑證、密碼及身分證影本,很多民眾不知道自然人憑證可以開戶,直到被警方通知變成人頭戶才知道,還有的是詐團持同意書至戶政事務所申辦自然人憑證。
年拿200億預算 數發部資安破功
銀行主管表示,自然人憑證開戶究竟不如到臨櫃開戶,還能夠「用力問」,至少理出個開戶動機,短期內因無法防範,只能先封掉這條路,不過這也意味詐團同樣可拿自然人憑證用於其他用途,政府恐得在詐團出手前,想好該如何應對,免得衍生更多社會問題。
國民黨立委王鴻薇說,數發部每年200多億元預算,整天喊資安韌性、數位韌性,結果一下子就破功,連詐騙集團都對付不了,竟連自然人憑證都被國內銀行拒絕開戶,重重打臉政府。
民眾黨立委林國成表示,台灣號稱AI科技大島,但資安比其他國家遜色許多,自然人憑證裡面有許多國人個資,如果被盜,恐引起極大混亂,政府應有所作為。
*********************************
Google 自 8 月起撤除中華電信憑證預設信任,台灣網站恐跳安全警告畫面!中華電信回應:「憑證安全無虞」
三嘻行動哇
2025年6月3日 週二 下午1:22
Google 在官方部落格宣布,自 2025 年 8 月 1 日起,Google Chrome 瀏覽器將不再預設信任中華電信(Chunghwa Telecom)與匈牙利 Netlock 這兩家機構所簽發的新 TLS 網站憑證。這項變更將從 Chrome 139 版本開始上路,而且會在 Windows、macOS、ChromeOS、Android 及 Linux 等作業系統生效,唯獨 iOS 因為使用 Apple 蘋果驗證機制而不受影響。
Google:憑證機構長期缺乏改善,已不符公開信任標準 根據 Google Chrome 安全團隊說明,過去一年觀察到中華電信與 Netlock 這兩家 CA(憑證機構)在管理公開信任憑證上出現多次問題,儘管曾經承諾改善,卻始終缺乏具體進展與明確的進步證據。這樣的行為已經損害公信力,不符合 Chrome 對 CA 所設定的信任標準。
Google 表示:「CA(憑證機構)在網路生態系中扮演高度信任角色,若其作為無法符合全球共識與標準,就無法維持公開信任。」
這項調整牽動甚廣,特別是台灣多數政府機關、學術單位與企業網站長期使用中華電信的 ePKI 憑證系統。若在規定時間後仍未更換憑證,用戶使用 Chrome 瀏覽網站時,將跳出全頁警告畫面,明確提示該網站「憑證不被信任」,恐引發使用者誤解、信任危機與系統存取障礙。
8 月起哪些憑證將不再被 Chrome 信任? 根據 Google 安全部落格消息指出,自 2025 年 8 月 1 日起,凡是新簽發、並連結到以下 TLS 網站憑證,都將被 Chrome 預設為不可信任:
ePKI Root Certification Authority(中華電信)
HiPKI Root CA - G1(中華電信)
NetLock Arany (Class Gold)(Netlock)
換句話說,只要是在 2025 年 7 月 31 日 23:59:59(UTC)之前簽發的憑證則不受影響,仍可正常運作。
憑證不被信任,使用者會看到什麼變化? 當使用者透過 Chrome 瀏覽連結到憑證不被信任的網站時,畫面將會跳出整頁的安全警示頁面,提醒這個網站的憑證無法被信任。除非企業或使用者自行設定將上述憑證納入系統信任憑證,否則一律會被擋下。
怎麼確認自家網站是否受影響? 網站管理者可透過 Chrome 內建工具查詢憑證資訊:
開啟 Chrome 並造訪網站(如:https://www.google.com) 點選網址列左側的「🔒」圖示 點選「連線安全」→「憑證有效」 查看「Issued By」欄位
若出現「Chunghwa Telecom」、「行政院」、「NETLOCK」等字樣,即屬受影響範圍 Google 建議儘速更換成其他公開信任的憑證機構 Google 建議網站營運單位應儘快轉換至其他被 Chrome 預設信任的 CA 憑證機構,如 Let’s Encrypt、DigiCert、GlobalSign 等。否則,一旦現有憑證過期或更新後,將立即受到新政策限制。
對於只在內部使用的企業網路,也可透過本地政策(如 Windows 群組原則)手動信任憑證,但僅限內部用戶有效,對外訪問仍會遭 Chrome 阻擋。
此外,Chrome 自 128 版起支援模擬「撤信情境」的指令列參數,企業 IT 單位可提前測試內部網站是否會受到影響。
中華電信聲明:憑證安全無虞,問題已調整完成 針對 Google 官方宣布的政策調整,中華電信也發出官方聲明,內容如下:
一、中華電信及其受委託經營的憑證管理中心皆依法合規,符合《電子簽章法》,也通過 WebTrust for CA 及 ISO 27001 等國際認證,所簽發的數位簽章具有法律效力,請用戶放心。
二、Google 撤信主因是部分程序未能在政策時限內完成調整。雖然目前中華電信已完成修正並達成所有要求,但 Google 仍決定先移除預設信任,並非因安全漏洞或私鑰洩漏,預期將於 2026 年 3 月重新取得 Chrome 預設信任。
三、所有於 2025 年 7 月 31 日前簽發的憑證不受影響;7 月 31 日後簽發的憑證僅在 Chrome 受限,使用 Microsoft Edge、Safari 等其他瀏覽器則不會受到影響。
四、中華電信強調,其憑證在政府、金融、數位簽章等應用中皆可正常使用,不受影響,請民眾與客戶放心。
台灣網站信任機制亟待自省 這次事件不只是一場技術性更新與瀏覽器政策調整,更是對台灣憑證系統的一次警鐘。台灣長年依賴單一 CA 憑證機構,若不積極與即時因應國際安全政策的變動,未來可能會有更多台灣網站面臨信任危機,甚至使台灣網站在全球主流平台中失去信任地位。
對政府與企業等大型機構單位來說,這也是一次重新檢視資訊安全政策、強化與國際規範對接的契機,如此才能避免類似事件再度發生。
原文網址:三嘻行動哇
圖片及資料來源:Google Blog、中華電信
***************************************
Google拔除中華電信TLS憑證信任 葛如鈞:核爆級災難
中天新聞網 宋玉寧
2025年6月3日 週二 下午2:14
昨(2)日晚間Google官方宣布,自2025年8月1日起,Chrome瀏覽器將不再預設信任我國中華電信(Chunghwa Telecom)與匈牙利Netlock所簽發的TLS憑證,此決定適用於Chrome 139版本後,涵蓋Windows、macOS、Android等平台,原因是這兩家機構過去1年內,在憑證管理上多次出現違規與改進承諾落空,因此Google資安團隊決定「撤回信任」。
據「風傳媒」報導,中華電信發表聲明,所有2025年7月31日以前簽發的憑證不受影響,問題只會發生在之後的新憑證,且僅限於Chrome用戶,並表示問題源於未能及時完成政策技術調整,並非憑證本身有安全漏洞。不過此一說法被外界認為是推卸責任,意即只要使用其他瀏覽器就沒事,卻完全無視Chrome瀏覽器的主流地位。
對此,國民黨立委葛如鈞強調,這是數位信任的「核爆級」災難,翻譯成白話就是,如果網站憑證沒有及時換發,屆時在Chrome瀏覽器上將跳出整頁紅色警示,直接被標示為「非安全網站」。
他更批評,不是不用Chrome就能解決問題,因為Chrome瀏覽器目前全球市占率高達65%,這不是能輕易忽視的選項。
至於行政院數位發展部則表示,早在今年3月就已針對信任政策變動啟動雙憑證機制,導入本土通過國際信任驗證的CA廠商,以便網站可無縫切換,避免憑證失效而造成服務中斷。數發部指出,目前政府網站仍能正常在Chrome瀏覽器上運作,未來也會持續進行相容性測試與政策調整,確保公部門數位服務不中斷。
-------------------------------------------------------------------------------
Google將撤中華電信憑證信任 葛如鈞:核彈級資安危機
2025-06-03 13:07 聯合報/ 記者李成蔭/台北即時報導
國民黨立委葛如鈞於今立法院國是論壇指出,國際知名搜尋引擎Google將撤銷中華電信憑證信任,這是「核彈級的數位信任大爆炸」,政府高喊數位信任與全民防詐,結果連基本的憑證管理都做不好,呼籲政府儘速補救,包含建立可信身份系統及借鏡國際經驗、推動公私協作及導入AI防詐等。
葛如鈞表示,Google宣布自7月31日起,Chrome瀏覽器將全面撤銷對中華電信及其政府憑證鏈的預設信任,葛如鈞強調,這是一場「核彈級的數位信任大爆炸」,不僅是單純的技術問題,更牽涉到國家資安與全民信任的重大危機。
葛如鈞指出,Google 在公告中批評,中華電信在憑證合規通報上的延遲,導致其誠信遭到質疑。葛如鈞強調,一旦憑證未及時更換,屆時民眾使用政府網站或重要服務平台時,瀏覽器將不再顯示安全鎖,甚至可能跳出整頁紅色警告或直接封鎖畫面,對民眾信賴構成重大打擊。
葛如鈞直言,政府高喊數位信任與全民防詐,但如果連基本的憑證管理都做不好,人民怎麼相信政府能守得住資安?葛如鈞指出,根據統計,台灣電話個資外洩率高達 62.4%,居亞洲第二;僅今年5月的一周內,就有高達21億元詐騙金額,情勢非常嚴峻。
葛如鈞呼籲,第一、建立可信身份系統,借鏡國際經驗,包括OpenAI創辦人Sam Altman發起的「World」計畫,運用匿名虹膜掃描與零知識證明技術,驗證使用者真實與唯一性,協助金融、電商與社群平台強化防詐機制。第二、推動公私協作、導入 AI 防詐,整合如GoGoLook等本土新創企業資源,政府應主動結合、擴大合作,打造AI防詐科技產業鏈,提升台灣在全球資安與防詐領域的競爭力。
葛如鈞表示,政府必須提高對數位信任的危機意識,這次事件不是單純的資安漏洞,而是國安警訊。台灣應該主動結合先進科技,成為亞太AI防詐領導者,保障民眾資安權益,守護國民的數位安全。
********************************