月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:15 PM
Mon, Jun 2, 2025 12:51 PM
3
比 CQL 還嗨
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:15 PM
>Google 強調,企業或個人若透過系統設定明確信任上述憑證(例如透過 Windows 群組原則手動安裝),仍可繼續使用這些憑證,不受預設限制影響。
back to the 90's
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:26 PM
[網路]SSL安全根憑證安裝步驟及相關說明 - 國立清華大學工程與系統科學系
到底有多少人還記得這個
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:30 PM
Google Chrome to Distrust Chunghwa Telecom & NetLock...
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:35 PM
Backend 台灣 (Backend Tw... on Facebook
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:35 PM
中華電信有個 中華CA 的子單位,工作是幫政府部門簽發 CA 憑證,可想像就是幫政府等單位配給網路用的電子鎖
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:36 PM
2024 3 月, 中華CA(TMK) 在火狐社群回報自己發的電子鎖用了錯誤的設計(EKU,雖然這算小問題)。
但這份報告寫的不好,社群的人要求照良好的格式補充報告(補時間軸、發生原因、如何發現等)。然後開始追問要 TMK 補交資料。追問的途中查看他的報告...發現中華CA簽出的電子鎖,登錄的區碼(OID)登去葉門(把區碼和電話區碼搞混了,歷史共業)
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:43 PM
Mon, Jun 2, 2025 12:46 PM
於是現在有兩個問題要修,EKU 和 OID 。
照安全性原則,大部份的資安問題都是要求更新密碼,但 TMK 在台灣是乙方(下略),回報不能要求使用者更新密碼/電子鎖。
於是繼續被質疑,你是保安公司,客戶無法尊守安全規範,實際上到底影響了什麼。要是客戶的電子鎖真的被盜用,還是要面對一樣的問題。
月木/逆柿果
@y0v0
Mon, Jun 2, 2025 12:44 PM
所以在這時就被 chrome 團隊列進觀察名單了。
1903066 - Chunghwa Telecom: Delayed Revocation with ...
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 12:39 AM
合規改善不符要求,Chrome將從8月起停止預設信任中華電信TLS新憑證
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 12:55 AM
看不懂雙憑證怎麼處理(一站無法掛二鎖)
GCP政府憑證入口網-申請TLS類憑證 步驟1
結果是買兩把鎖,時間到了自己改掛 TWCA ????
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 5:49 AM
Tue, Jun 3, 2025 6:05 AM
再精簡一次連環三階爆
- 最初被發現 EKU 問題,報告不清被追問
- 追問時被分析還有其他設計問題(OID),要求得換第二次鎖
- 回報無能力再為了 OID 快速換鎖(而且第一次EKU已經是不合格的慢),被質疑不可靠
So now
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 9:58 AM
再多講點尷尬的問題
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 10:03 AM
追流行來說,如果支持 AI 主權的概念,其實CHT 做的事算合理(想想安全名單是誰說了算)
所以我認為最大的敗筆一直是第三點
但請來的人可能被預期只能作為工人,不一定有能耐斡旋(畢竟是乙方),所以也只能吃瓜
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 2:53 PM
讀懂資安新聞 - Chrome 為什麼取消中華電信的根憑證信任?-黑暗執行緒
今年 3 月出事才是主因?但這個出事可能也是基於去年 5 月的事件才有大遷徙?
這樣表示瓜要加上第 4 點?
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 3:11 PM
Tue, Jun 3, 2025 3:43 PM
最後這個真的只能怪 CHT 了...便宜行事廣灑保全系統,沒合約的也安裝。再被異業巡警抓包
月木/逆柿果
@y0v0
Tue, Jun 3, 2025 3:36 PM
去年相較之下都是鳥毛問題了,今年這個才是被拔白名單的大事
月木/逆柿果
@y0v0
Wed, Jun 4, 2025 11:03 AM
看懂中華電信憑證遭 Google 撤信 6 項缺失:遇到 Chrome 不信任畫面怎麼辦? - elec...
背後作者厲害
月木/逆柿果
@y0v0
Wed, Jun 4, 2025 11:05 AM
但也沒提到今年3月的事件
月木/逆柿果
@y0v0
Thu, Jun 5, 2025 11:47 AM
2017
自己的安全自己掌握,Google設立根憑證機構GTS掌管自家與Alphabet所有憑證發行
2018
7月出爐的Chrome 68將把所有HTTP網站列為不安全
月木/逆柿果
@y0v0
Sun, Jun 22, 2025 4:58 AM
臺灣首度引爆憑證信任危機(一):中華電信憑證失效,連自家網站的憑證都要跟別人買
載入新的回覆
back to the 90's
到底有多少人還記得這個
但這份報告寫的不好,社群的人要求照良好的格式補充報告(補時間軸、發生原因、如何發現等)。然後開始追問要 TMK 補交資料。追問的途中查看他的報告...發現中華CA簽出的電子鎖,登錄的區碼(OID)登去葉門(把區碼和電話區碼搞混了,歷史共業)
照安全性原則,大部份的資安問題都是要求更新密碼,但 TMK 在台灣是乙方(下略),回報不能要求使用者更新密碼/電子鎖。
於是繼續被質疑,你是保安公司,客戶無法尊守安全規範,實際上到底影響了什麼。要是客戶的電子鎖真的被盜用,還是要面對一樣的問題。
1903066 - Chunghwa Telecom: Delayed Revocation with ...
GCP政府憑證入口網-申請TLS類憑證 步驟1
結果是買兩把鎖,時間到了自己改掛 TWCA ????
- 最初被發現 EKU 問題,報告不清被追問
- 追問時被分析還有其他設計問題(OID),要求得換第二次鎖
- 回報無能力再為了 OID 快速換鎖(而且第一次EKU已經是不合格的慢),被質疑不可靠
So now
所以我認為最大的敗筆一直是第三點
但請來的人可能被預期只能作為工人,不一定有能耐斡旋(畢竟是乙方),所以也只能吃瓜
這樣表示瓜要加上第 4 點?