雙面浪人 wrote:
這篇比較中肯看起來中...(恕刪)
雙面浪人 wrote:
這篇比較中肯
看起來中華電信只是箭靶
https://today.line.me/tw/v2/article/5ylJNWr
節錄一點內容
按照規定,一旦發現違規憑證,CA(憑證機構)必須於五日內完成撤銷。但中華電信卻未能在此期限內完成作業。理由很簡單,也很沉重:受影響的用戶多為公家單位與中小企業,他們普遍缺乏 IT 能力,無法快速更新憑證;更困難的是,許多政府機構必須經過多層級的公文核定程序,才得以更換網站憑證。在這樣的結構限制下,即使中華電信積極主動,也無法有效控管整體進度。
這場延誤,被 Mozilla 解讀為對信任體系的嚴重破壞。
由於舊根憑證 eCA-G1 的逐步淘汰,CHT 近期啟動了一項計劃,將 GTLSCA 中現有的 TLS 憑證遷移至單一用途公鑰基礎設施 (HiPKI)。由於 GTLSCA 和 HiPKI OV TLS CA 均由 CHT 運營,我們透過重複使用驗證資料或文件來確認這些有效憑證在 GTLSCA 上的網域控制權,並直接透過 HiPKI OV TLS CA 進行憑證重新頒發
。 2025 年 3 月 1 日,CHT 收到 Chrome 根憑證計畫的通知,他們注意到 CHT 頒發的(特定網域的)TLS 憑證異常激增,並觀察到為多個網域頒發的新憑證似乎設定了與 HiPKI OV TLS CA 憑證規格中所述的 CHT 授權授權值相衝突的 CAA 記錄。在與 CA 回應團隊舉行初步事件討論會議後,我們決定立即撤銷遷移期間頒發的所有憑證。此外,我們也撤銷了先前核發的對網域控制驗證方法有類似問題的憑證。
根本原因分析
此次簽發僅因 DCV 重複使用而進行,將現有 TLS 憑證從 GTLSCA 遷移到 HiPKI 的過程中並未徹底檢查 CAA 記錄。例如,某個網域提供的 CAA 記錄帶有簽發標籤“letsencrypt.org”或“GTLSCA-G1”,這導致 HiPKI OV TLS CA 無法簽發憑證。此外,遷移過程並未遵循 HiPKI OV TLS CA 要求的完整驗證流程。因此,域名控制的證據可能不可靠。
,台灣身為美國盟友卻被美國主導的企業制裁,那台灣真是太棒了!
