就濫發欠釘，那天新聞在國外也看到

google 有寫哪一張憑證
https://security.googleblog.com/202...re-changes.html

賽門鐵克之前就是隱瞞
後來被抓包，原本以為傷害不大
只亂發十幾張，後來被 GOOGLE 發現刻意避重就輕
根本是抓到一張承認一張，被 GOOGLE 抓到至少亂發一千張
然後這整個機構就沒了

中華電信是主動找人求助
然後自己已讀不回，搞到人家比你緊張
https://bugzilla.mozilla.org/show_bug.cgi?id=1891438

發生這種事情不太可能沒甚麼影響
就像女生給男友戴綠帽
男生知道後女生跑來跟你談信任一樣
這件事就看後續他們怎麼談
賽門鐵克就是一家企業
中華電信有官股，政府很多網站都是用他發的這張憑證
加上中華電信還是 ISP，多重背景的確是有可能給他搓過
因為你不信任他，他明天還是會借殼再弄間新的

這種做事態度我覺得今天這樣後果剛好而已
憑證機構其實是一門水很深的生意
能搞到今天這樣是真的蠻不容易的

... 公務員才不會這樣做, 這樣等於把責任往自己身上套.

樹發部就是個廢物，只會發函，叫你兩家憑證都買(中華+TWCA)
以上是我夢到的

數發部 要預算時，都把別人的工作掛在自己身上。
出事時，就撇乾淨。（防詐也是）

中華電信類公家機關，內部的制度、專業、組織跟不上外面世界。

我在類公股單位工作，一堆空降酬庸主管都想跟風最新科技、新名詞等等。

求表現給上面看。

行動xx（辦公、管理...），大數據，RPA，AI，智能...（EDI, OpenBank, ...）都想跟
風。但全都是假的。

不光是外包，就連外包也需要有一些制度...但全都只有紙上（公文）作業的流程。

舉的例：

連整個企業內部發布行動AP的開發、管理、部屬，資安....全都是假的。
那個組織最高權限的帳號，還掛在我個人身上。
資訊、資安不是沒人懂，就是不想接。

資訊/資安部沒任何專業，還不少不是資訊人員。
不少賣資安設備廠商的銷售人員轉進資安部。

就算有懂的人，很多需要組織架構，制度的配合。
但懂得人通常是底層的，主管大都是會考試、會考證照、有後台的黑官....

最近行動* 因為過氣了，開始報廢一堆 iPad、取消連網專案，廢掉 AP。
誰要用誰去接，時間到就關閉帳戶。
當初亂接工作的都升官了，爛攤子時間到就放生。

2025-06-04 中華電信遭撤信 20年CA老手為何作業崩盤？

中華電信遭Google移除Chrome預設信任，據熟悉中華電信作業人士指出，中華電信承作這項業務20年，
卻在此時出現內部作業流程與稽核制度出問題，恐涉及內部組織、管理層系統性監理失能等結構性問題。

根據Google發布的公告，中華電信遭遇此舉並非單一偶發，而是多起作業疏失累積所致。
最引發爭議的是其對業界最低標準的忽視。
根據公開紀錄，2023年9月生效的CA/B Forum的基本準則已明確規定，
憑證中的擴展金鑰用途（EKU）欄位不得標記為重大關鍵（critical），但中華電信旗下的GTLS CA卻未能遵循，
長達半年錯誤地標記為重大關鍵，並持續簽發憑證，累積近7000筆。
違規事由包含未按時提交審計報告、憑證資訊揭露不足，以及對外回應不透明等，
最終導致Google決定從Chrome瀏覽器的信任清單中移除其根憑證。

而目前台灣具有公開簽發憑證機構資格的僅有中華電信與台灣網路認證公司。
資安專家指出，當其中一家遭遇信任危機，用戶雖可轉向另一家國內憑證頒發機構（CA）或採用國際憑證，
但若使用者選擇國外憑證，一旦發生爭議，國內主管機關難以介入處理。

之前的憑證依然有效，中華也說了八月之後就不發憑證。
所以目前看來，沒有人有機會看到被拒絕的憑證了。

看新聞其中還有個問題是，原本標準5天內要完成問題憑證撤銷，
結果因為等政府機關公文往返，中華電信拖了幾個月才完成撤銷 :flash:

剛好前陣子有個新聞，SSL/TLS憑證最長效期2029年將縮減成47天
https://www.ithome.com.tw/news/168409
明年開始就要逐步縮短，如果每次都拖幾個月，未來很容易開天窗

43....後面一次補

以後 web3 流行後應該也沒什麼人要買憑證了
越來越多人認為憑證就是個智商稅
雖然我不完全認同
但這種說法還是有些道理