在介紹完 PKI（Public Key Infrastructure, 公開金鑰基礎建設） 之後，我們需要更進一步理解：為什麼瀏覽器或應用程式在打開 HTTPS 網站時，可以自動判斷一張憑證到底可信不可信？這個背後的關鍵，就是 作業系統所內建的「根憑證」(Root Certificate)。而台灣的 CA（憑證授權中心），例如 TWCA、Chunghwa Telecom (中華電信)，也名列其中。不過，最近 Chrome 就對中華電信的憑證做出重大調整，引發不少討論。

什麼是根憑證？

在 PKI 的信任鏈 (Chain of Trust) 裡，最上層的是由 憑證授權中心 (CA, Certificate Authority) 所發行的根憑證。
這些根憑證 並不是從網站下載的，而是 作業系統 (Windows、macOS、Linux) 或瀏覽器 (Chrome、Firefox) 預先內建，並放在「信任的憑證儲存區」中。

只要根憑證存在並被系統標記為「受信任」，那麼由它所簽發的中繼憑證 (Intermediate Certificate)，以及最終的伺服器憑證 (Server Certificate)，就能順利通過驗證。

作業系統的信任儲存區

不同作業系統都有自己的「根憑證清單」，例如：

• Windows

  • 使用「證書管理員」(certmgr.msc) 管理
  • 儲存在 Trusted Root Certification Authorities

• macOS / iOS

  • 使用「鑰匙圈存取」(Keychain Access)
  • 系統預先安裝 Apple 信任的 CA 根憑證

• Linux

  • 常見路徑 /etc/ssl/certs/
  • 可透過 update-ca-certificates 或 trust anchor 更新

作業系統會定期更新這些根憑證，確保安全性（例如移除被撤銷或不再安全的 CA）。

為什麼需要信任的根憑證？

根憑證的主要用途包括：

1. 瀏覽網站安全驗證
   驗證伺服器憑證是否由「受信任的根 CA」簽發。

2. 軟體簽章與更新驗證
   確保作業系統更新與驅動程式來源可信，避免惡意軟體。

3. 電子郵件加密與簽章 (S/MIME)
   保證寄件者身份合法，避免釣魚郵件。

4. VPN 與企業內部服務
   內部自建 CA 的根憑證需分發到員工端點，才能被信任。

台灣的作業系統根憑證

在台灣，有幾家主要的 CA 被納入 OS／瀏覽器的根憑證信任清單，例如：

這些 CA 的根憑證存在於系統與瀏覽器的「信任庫」中，用戶在造訪網站時不會意識到背後的驗證過程，但實際上就是靠它們維持 HTTPS 連線的可信度。

Chrome 移除中華電信憑證的事件

事件背景

Google Chrome 的 Chrome Root Program 是管理瀏覽器根憑證信任的政策框架。若某個 CA 在遵循標準、憑證管理流程、資安事件回應上未達標，Chrome 可能會限制甚至移除對該 CA 的信任。

近期，中華電信的 HiPKI Root CA – G1 與 ePKI Root Certification Authority，就在 Chrome 的公告中成為限制對象。

事件細節

• 影響 CA

  • CN=ePKI Root Certification Authority, O=Chunghwa Telecom Co., Ltd., C=TW
  • CN=HiPKI Root CA - G1, O=Chunghwa Telecom Co., Ltd., C=TW

• 限制生效時間

  • 從 2025 年 8 月 1 日 起，Chrome 139 版以後，將不再信任由這些根憑證簽發、且 SCT（Signed Certificate Timestamp）晚於 2025/7/31 23:59:59 UTC 的新伺服器憑證。

• 哪些憑證不受影響

  • 在期限之前已發行的憑證（即 SCT 在 2025/7/31 前），仍會被信任，直到它們自然到期或被撤銷。

• 影響範圍

  • Chrome on Windows / macOS / Android / Linux / ChromeOS
  • iOS 因為根據 Apple Root Store，不受此政策影響。

為什麼 Chrome 要限制中華電信憑證？

Google 的理由包括：

1. 合規性不足

   • 部分憑證發行與管理流程不符合 Root Program 要求，改善進度不足。

2. 安全風險

   • 信任 CA 代表能為整個網路簽發憑證，一旦流程出現問題，可能造成誤發、濫用或 MITM 風險。

3. SCTNotAfter 機制

   • 透過設定截止日，只拒絕「未來的新憑證」，避免一次性破壞既有生態，給網站管理者遷移時間。

總結

• 根憑證是數位世界的信任基礎，作業系統與瀏覽器內建的清單，讓 HTTPS、軟體更新、電子簽章能安全運作。
• 台灣的 TWCA、Chunghwa Telecom CA 都在這份清單之中，被廣泛使用於政府與企業服務。
• 但 Chrome 對中華電信 CA 採取限制措施，意味著未來新憑證可能無法被 Chrome 使用者信任，網站管理者需要及早規劃替代方案。
  *，Chrome 除了會沿用作業系統的根憑證清單，也有自己獨立維護的「Chrome Root Store」。這代表即使某個 CA 還在作業系統的信任庫裡，Chrome 也可能根據自己的政策額外限制或移除，這就是中華電信事件發生的背景。

這個案例正好說明了：CA 的信任不是永遠的，而是需要持續符合標準與安全規範。

魯十二滷肉飯

• 店名：魯十二滷肉飯
• 地址：新北市新莊區後港一路73號
• 營業時間：每日11:00–21:00
• Google Maps
• 本系列地圖

難得來到新莊，就在找找看有沒有好吃的滷肉飯，查到這家評價很多，滷肉飯肥嫩，中規中矩