監察院14日通過調查報告指出,中華電信營運的政府憑證體系去年因違反國際規範,面臨遭 Google Chrome 撤銷信任風險,恐影響政府網站正常運作與民眾使用信心,要求數位發展部與中華電信全面檢討改進。
監察委員賴鼎銘、葉宜津指出,2025 年 5 月傳出中華電信所營運的政府伺服器數位憑證管理中心(GTLSCA)憑證,將遭主流瀏覽器撤銷信任,影響範圍涵蓋政府入口網站及各項公共數位服務,一旦發生,民眾可能無法正常連線,甚至誤判為不安全網站,動搖政府數位服務的信任基礎。
調查發現,問題源於 2024 年間 GTLSCA 多次違反國際憑證規範(Baseline Requirements),包括憑證格式錯誤及未依規定時限撤銷憑證等重大缺失,涉及數量高達數千至上萬張,顯示內部控制與合規機制存在明顯漏洞。
監察院指出,數發部雖在事件後推動雙憑證機制、完成全面換證,並透過契約裁罰及人力調整進行補救,但在早期即出現違規徵兆時,未能及時強化監督與建立應變機制,對風險嚴重性亦未充分掌握,導致問題持續累積。
此外,數發部在對外說明時,將責任歸因於委外契約關係,也被認為與其作為資通安全主管機關的角色不符,監察院認為有檢討必要。
調查亦指出,現行憑證檢核與外部稽核多為定期或事後查核,未能跟上國際即時自動化檢核趨勢,且政府尚未建立大規模憑證撤銷的授權與應變機制;同時,政府憑證體系具備跨機關關鍵基礎設施特性,卻未納入相關資安防護架構,顯示在風險辨識與持續營運管理上仍有不足。
監委強調,中華電信在憑證管理與合規作業上需加強,數發部在風險治理與監理機制上亦有改善空間,應以本案為契機,全面強化我國數位信任基礎設施治理,確保政府數位服務穩定與公信力。
