TGTGInsighttelegram intelligenceLIVE / telegram public index
← FutaGuard
FutaGuard avatar

TGINSIGHT POST

Post #149

@FutaGuard

FutaGuard

Views2,110帖子阅读量
发布6月4日2025/06/04 05:42
Post content

帖子内容

翻譯吐司:為什麼 Google Root Store 拒絕信任中華電信的憑證?(3/3) Ben 回覆是: 這個時間表與之前在評論 #0 和評論 #2 中提供的計劃,以及其他更新中所報告的進展情況不一致 ⚠️(順帶一提,在此問題被提出之前的最初電子郵件中,中華電信表示可能需要比2025年4月15日多三個月的時間,也就是到2025年7月15日。) 為了使該過渡成功,中華電信需要停止在 ePKI Root CA 下簽發 TLS 憑證,並/或確保能以及時且可控的方式替換證書鏈。 (📝 白話文:你跟我玩文字遊戲?) 我們關注的是台灣數位事務部(MODA)對中華電信 CA 運營的影響。我們希望中華電信能遵守業界標準,如 TLS 基準要求(TLS Baseline Requirements) 1. 包括向 GTLSCA-G2 CA 的全面過渡和驗收測試在內的所有必要工作,必須最遲在2025年7月15日之前完成。這一修訂後的3個月截止日期已經比2025年4月15日的原先日期大幅延長,同時也符合中華電信最初的電子郵件中提到的時間點。我們敦促您優先確保這一目標的實現。 2. 請至少⚠️每14天更新此問題的進展狀況。這些更新應清楚詳述達成關鍵里程碑的狀態、現存問題或可能出現的新問題的解決進展。 3. 中華電信必須確保在 ePKI Root CA 下的證書簽發迅速減少,並/或替換證書鏈等,避免出現最後一刻的意外。必須為此努力提供清晰的計劃,並每兩週進行更新。 4. 中華電信⚠️需要闡明其與 MODA 的合同義務,並解釋如何對其下屬 CA 進行適當的監督和治理——無論這些下屬 CA 是內部運營還是外部運營。 (📝 你們的進度有古怪,我看不懂) 接著 Ben 2025/03/31 發文表示收到台灣數發部的來函 我先放原文 為了保持透明性,Mozilla 收到了台灣數位事務部(MODA)於2025年3月15日發出的正式請求,要求我們延遲移除中華電信 (CHT) 的 ePKI Root CA 的「網站」(websites)信任位。根據 Mozilla 的根 CA 生命週期過渡計劃,目前預計該移除將在2025年4月15日左右執行。 MODA 解釋,請求延遲的目的是為了支持政府網站從 CHT 的 GTLSCA-G1 子 CA 所簽發的證書過渡的工作。如我們所理解,MODA 正在實施一項短期遷移計劃,該計劃涉及對政府網站新增大約12,000份雙重簽發的證書——其中一份由中華電信簽發,另一份由台灣證書公司 (TWCA) 簽發——以確保政府服務的持續可用性並將使用者影響降到最低。 目前,我們尚未做出最終決定,但正在考慮以下方案: 1️⃣ 延後移除「網站」信任位 2️⃣ 實施不信任生效日期 3️⃣ 採取其他符合 Mozilla 根存儲政策和生態系統風險管理的行動。 我們需注意以下事件: 1️⃣ ePKI Root CA 使用了一個4096位元的 RSA 密鑰,比其他類似年代的根證書提供更高的安全性。 2️⃣ 考慮中的任何延長都將嚴格限定時間範圍(例如,⚠️不超過2025年8月1日),這是一種短期權宜之計,而非改變長期政策方向。 3️⃣ Mozilla 保留基於新信息或風險因素變化,在任何時間移除或撤銷信任的權利。 📝 我的見解是,Ben 收到信件後為了避免被說是黑箱,因此在相關 report 中留下紀錄同時闡述了 Mozilla 未來可能會採取的方式,在方案中那邊可以看到,而考慮的條件或是 Mozilla 所關心的其中一點就是即使延長了也不可超過 2025年8月1日,所以可以判斷 Google 在 Chrome Blog 所說的移除信任其實是參考自 Mozilla 的條件,可能也不像是媒體渲染得那麼誇張 目前我得出的結論是: 1️⃣ 中華電信並不是因為有資料洩漏導致憑證不被信任 2️⃣ 不信任這個詞是針對憑證 3️⃣ 撤銷信任時間是 2025年3月31日就決定的 然後就是整件事情還有番外篇,所以晚點還會繼續連載 資料來源: Google Security Blog 說明 Root Store 變動 https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html 中華電信人員請求延長撤銷信任的討論串 https://bugzilla.mozilla.org/show_bug.cgi?id=1891438 Ben 在外部 Google Groups 的紀錄 https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/uYAm_c_pfos/m/Pz5m5PAZBwAJ