淺看「TaiwanSupplyChainAttack 取證數據庫」 (6/6)

是不是以為沒有後續了？想不到吧？
因為該 repo 使用了好多種艱深的術語，所以我特地看了一下 repo 擁有者是誰，Google 一下 HuntrixLabs 並沒有任何收穫，倒是文章出現的 YouTube 頻道擁有者我拿去 Google 查到一些資料

https://odysee.com/@iontou:1
https://www.youtube.com/@iamontou1023
https://www.pttweb.cc/user/iamontou?t=article

看起來是對隱私非常注重的大佬
但是是小草 😂
（原本還想補充什麼但停在這裡就好了）

Google Chrome 不信任中華電信與 NetLock TLS 憑證

Google 宣布，自 2025 年 8 月 1 日起，Chrome 瀏覽器將停止信任由 中華電信（Chunghwa Telecom）和 NetLock 頒發的 TLS 憑證，CA 承擔著一個至關重要且被信任的角色，它是瀏覽器與網站之間加密連接的基礎。基於這種特殊責任，要求 CA 遵守合理且以共識為基礎的安全與合規預期，包括 CA/瀏覽器論壇（CA/Browser Forum）TLS 基線要求。過去幾個月甚至幾年，我們觀察到一系列的問題，包括合規失誤、未能履行改善承諾，以及在回應公開曝光事件報告時缺乏具體、可衡量的進展。

將這些因素綜合考量，加上每家公開信任 CA 對網路構成的內在風險，繼續保持公開信任已不再合理。

1. 主要原因及影響：

- 主要原因：Google 表示，這些機構存在多次合規失敗的問題，長期未兌現提升承諾，導致公眾信任無法繼續。
- 影響：從 Chrome 139 版本開始，對於這些根憑證機構頒發的憑證（其最早的「簽署憑證時間戳」在 2025 年 7 月 31 日之後），Chrome 將視為不再可信。使用這些憑證的網站將顯示完整頁面的安全警告，並默認阻止訪問。
- 例外情況：此政策不適用於 Chrome for iOS，因為該平台依賴 Apple 的根憑證存儲。

2. 受影響的憑證機構與根憑證名單：

- 中華電信（Chunghwa Telecom Co., Ltd.，台灣）：
- ePKI Root Certification Authority
- HiPKI Root CA – G1
- NetLock（匈牙利）：
- NetLock Arany (Class Gold) Főtanúsítvány

🦊🦊🦊🦊🦊🦊🦊🦊

附註：太舒服了，八月開始準備看一堆政府網站炸光光，文章使用 Gemini 2.5 Pro 翻譯，真不錯

來源
https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html

翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（1/3）

在開始閱讀下面文章之前，我會根據現有的資料夾上補充說明，如果我覺得不太清楚的部分會使用 📝 emoji 作為補充，原文的部分如果是重點我會用粗體加上 ⚠️，希望大家也能看得懂，同時如果下面如果有錯誤的部分歡迎指出 👉

🦊🦊開🦊始🦊🦊

在下面[1]貼文可以看到2024 4月 15日一位中華電信員工在 Mozilla Bugzilla 中提出要求 Mozilla 推遲信任位的移除計劃
（📝 一般來說，根憑證（Root Certificate）的信任周期通常設定在 20至25年 之間）

並提出是由於「主要原因是執行測試功能的延遲，尤其涉及政府 CA 子系統中的⚠️預算和測試問題」導致
（📝 2024 4月那時還沒有砍預算之亂，因此預算以及測試問題的部分我沒有其他資訊可以佐證）

請求 Mozilla 延後移除對舊憑證的信任，並提出一系列的時間軸，同時會用⚠️舊的憑證繼續進行交叉簽署
（📝 交叉簽署是一種用於在多個憑證信任鏈之間建立橋樑。這通常發生在新的根憑證被發布時，為了讓新的憑證快速被廣泛信任，舊的根憑證會簽署新的根憑證，從而使其暫時共享信任）


🤔 中華電信提出的 Roadmap 粗略翻譯如下

2023年10月 與中華電信 (CHT) 簽署2024年的新維護合同。
2023年11 向 CA 擁有者（即政府機構）說明 Mozilla/Google 預期的時間表。
2024年3月 第三方稽核員與 CA 擁有者續約。
2024年3月 舉行第二代 GTLSCA（GTLSCA-G2）的密鑰生成儀式，並邀請第三方稽核員見證並提供見證報告。
2024年4月 中華電信 (CHT) 針對 GTLSCA-G2 作為 HiPKI Root CA 的從屬 CA，進行申請及審查會議。
2024年6月 為新一年度預算準備每項工作的預算清單。
2024年8月 與中華電信 (CHT) 簽署2025年的新維護合同。
2024年9月 進行新證書鏈的系統整合測試。
2024年11月 將根 CA 遷移至新的 PKI，即 HiPKI Root CA。

Mozilla 那邊速度很快，三個小時內就有人接手此回報，對方叫做 Ben Wilson （下稱 Ben）
Ben 在看到請求後，對此回報上了「needinfo?」的標籤，見對方沒有提出任何補充說明5 天後 Ben 回覆要求中華電信提出更多資料，同時也提出幾點

2024年4月 中華電信 (CHT) 針對 GTLSCA-G2 作為 HiPKI Root CA 的從屬 CA，進行申請及審查會議。

1️⃣ 根據提供的時間表，請問 GTLSCA-G2 的申請及審查會議是否如期在 2024年4月舉行？如果是的話，會議結果如何？

2024年6月 為新一年度預算準備每項工作的預算清單。

2️⃣ 目前由誰負責準備新年度預算的每項工作清單？關於此任務的進度是否有最新的更新？

2024年8月 與中華電信 (CHT) 簽訂2025年的新維護合同。

3️⃣ 2024年8月的具體哪一天預計簽署新的維護合同？是否存在可能影響此里程碑的不確定挑戰或依賴因素？

2024年9月 進行新證書鏈的系統整合測試。

4️⃣ 關於此項或其他相關準備工作是否已有進行？

2024年11月 將根 CA 遷移至新的 PKI，即 HiPKI Root CA。

5️⃣ 為達成此里程碑需要完成哪些步驟？是否還有後續的步驟或里程碑以確保成功過渡至 HiPKI Root CA？

翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（2/3）

對此我們中華電信這邊居然他媽隔了1個多月（36 天）才回應

1️⃣ 台灣政府代表提出聯署申請，我們於 4 月 11 日舉行 CHT PMA 會議。

2️⃣ 確保新的維護合約持續進行，GTLSCA CA 團隊的專案經理 Leo Fang（leox@cht.com.tw），他將與台灣政府的聯絡窗口討論。我從他們的雙週會議中得知，這項任務的進度已接近完成，最後的版本即將送往預算辦公室審核。

3️⃣ 確保 bugzilla 的問題都已解決。

（📝 簡單說已讀亂回，只回了第一點人家問會議的時間，其他測試工作步驟相關資訊一概沒有回覆；一句話來說就是，我不知道你去問 Leo）

接著這位中華電信資深工程師陸陸續續在幾個月內回覆此回報

兩個月後

新的維護合約已經簽訂，而 GTLSCA 的新 PKI 和新憑證鏈的系統整合測試計劃也即將展開。

四個月後

在過去的幾個月中，CHT 與 CA 業主舉行了多次會議，討論這些事件以及 CHT 的回應。
新憑證鏈的系統整合測試已於 2024 年 10 月完成。在 TLS 憑證方面，這幾天我們的商業 TLS 業務已經轉移到新的 HiPKI OV TLS CA，基本上已經完成；但是由於一些問題，⚠️ 新的政府 TLS CA GTLSCA-G2 的轉移還沒有完成。

Ben 看了之後指出
您能協助識別在完成 GTLSCA-G2 過渡工作中面臨的問題和障礙嗎？
或許瞭解這些問題能幫助制定一個為期四個月的項目計劃。（計劃中的 TLS 信任位移除日期是2025年4月15日，距今僅剩四個月。）
（📝 所以都快到期了結果過渡工作都沒還做好，火燒屁屁囉）

中華電信這邊回覆

我們正在與其他瀏覽器協商，重新考慮從我們的 HiPKI RCA-G1 到 GTLSCA-G2 的交叉認證請求，以便過渡合理。
以下是 2025 年 GTLSCA-G2 交叉標誌工作的預計時間說明如下圖

翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（3/3）

Ben 回覆是：

這個時間表與之前在評論 #0 和評論 #2 中提供的計劃，以及其他更新中所報告的進展情況不一致
⚠️（順帶一提，在此問題被提出之前的最初電子郵件中，中華電信表示可能需要比2025年4月15日多三個月的時間，也就是到2025年7月15日。）
為了使該過渡成功，中華電信需要停止在 ePKI Root CA 下簽發 TLS 憑證，並/或確保能以及時且可控的方式替換證書鏈。
（📝 白話文：你跟我玩文字遊戲？）

我們關注的是台灣數位事務部（MODA）對中華電信 CA 運營的影響。我們希望中華電信能遵守業界標準，如 TLS 基準要求（TLS Baseline Requirements）

1. 包括向 GTLSCA-G2 CA 的全面過渡和驗收測試在內的所有必要工作，必須最遲在2025年7月15日之前完成。這一修訂後的3個月截止日期已經比2025年4月15日的原先日期大幅延長，同時也符合中華電信最初的電子郵件中提到的時間點。我們敦促您優先確保這一目標的實現。

2. 請至少⚠️每14天更新此問題的進展狀況。這些更新應清楚詳述達成關鍵里程碑的狀態、現存問題或可能出現的新問題的解決進展。

3. 中華電信必須確保在 ePKI Root CA 下的證書簽發迅速減少，並/或替換證書鏈等，避免出現最後一刻的意外。必須為此努力提供清晰的計劃，並每兩週進行更新。

4. 中華電信⚠️需要闡明其與 MODA 的合同義務，並解釋如何對其下屬 CA 進行適當的監督和治理——無論這些下屬 CA 是內部運營還是外部運營。
（📝 你們的進度有古怪，我看不懂）

接著 Ben 2025/03/31 發文表示收到台灣數發部的來函
我先放原文

為了保持透明性，Mozilla 收到了台灣數位事務部（MODA）於2025年3月15日發出的正式請求，要求我們延遲移除中華電信 (CHT) 的 ePKI Root CA 的「網站」（websites）信任位。根據 Mozilla 的根 CA 生命週期過渡計劃，目前預計該移除將在2025年4月15日左右執行。

MODA 解釋，請求延遲的目的是為了支持政府網站從 CHT 的 GTLSCA-G1 子 CA 所簽發的證書過渡的工作。如我們所理解，MODA 正在實施一項短期遷移計劃，該計劃涉及對政府網站新增大約12,000份雙重簽發的證書——其中一份由中華電信簽發，另一份由台灣證書公司 (TWCA) 簽發——以確保政府服務的持續可用性並將使用者影響降到最低。

目前，我們尚未做出最終決定，但正在考慮以下方案：
1️⃣ 延後移除「網站」信任位
2️⃣ 實施不信任生效日期
3️⃣ 採取其他符合 Mozilla 根存儲政策和生態系統風險管理的行動。

我們需注意以下事件：
1️⃣ ePKI Root CA 使用了一個4096位元的 RSA 密鑰，比其他類似年代的根證書提供更高的安全性。
2️⃣ 考慮中的任何延長都將嚴格限定時間範圍（例如，⚠️ 不超過2025年8月1日），這是一種短期權宜之計，而非改變長期政策方向。
3️⃣ Mozilla 保留基於新信息或風險因素變化，在任何時間移除或撤銷信任的權利。

📝 我的見解是，Ben 收到信件後為了避免被說是黑箱，因此在相關 report 中留下紀錄同時闡述了 Mozilla 未來可能會採取的方式，在方案中那邊可以看到，而考慮的條件或是 Mozilla 所關心的其中一點就是即使延長了也不可超過 2025年8月1日，所以可以判斷 Google 在 Chrome Blog 所說的移除信任其實是參考自 Mozilla 的條件，可能也不像是媒體渲染得那麼誇張

目前我得出的結論是：
1️⃣ 中華電信並不是因為有資料洩漏導致憑證不被信任
2️⃣ 不信任這個詞是針對憑證
3️⃣ 撤銷信任時間是 2025年3月31日就決定的

然後就是整件事情還有番外篇，所以晚點還會繼續連載

資料來源：
Google Security Blog 說明 Root Store 變動
https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html

中華電信人員請求延長撤銷信任的討論串
https://bugzilla.mozilla.org/show_bug.cgi?id=1891438

Ben 在外部 Google Groups 的紀錄
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/uYAm_c_pfos/m/Pz5m5PAZBwAJ

颱風天來修復大量大家回報的錯誤，順便水一下貼文。

⁉️ 更新內容：
1. 移除 Momo 購物查詢
▶️ Momo 他們將自己的查詢頁面給關掉了，暫時也沒有找到內部網頁可以查的管道所以只好拔了

2. 移除順風物流快遞查詢
▶️ 之前找到的順豐漏洞被修補了，暫時也還沒找到新的突破點只好先拔了

3. 移除 DHL 查詢
▶️ 同上，之前用奇怪的方式避免被人機驗證的方式他們也修了，暫時也還沒有新的想法

4. 修復萊爾富無法查詢問題
▶️ 他們大概是購入了新的防火牆設備，針對所有請求都撿查了個遍，原先省略的 headers 現在都會檢查一次了，太狠了兄弟，現在我給你補上了

5. 修復郵局無法查詢問題
▶️ 郵局在凌晨時新增了規則，禁止海外 IP 查詢，大概是跟前陣子中華餐餐飽 DDoS 有關係

💻 我要去打阿福模式了 再見

⚠️ 緊急公告
請不要使用「鏟子英雄」網頁註冊服務，有人在 threads 分享鏟子英雄網頁有相關的疑似資料外洩的情況，經過核實至今沒有修正，作者逼逼說他知道但他沒有打算修那是 feature

什麼意思我看不懂，反正就很荒謬 🥦

網站：
https://shovel-heroes.com