翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（3/3）

Ben 回覆是：

這個時間表與之前在評論 #0 和評論 #2 中提供的計劃，以及其他更新中所報告的進展情況不一致
⚠️（順帶一提，在此問題被提出之前的最初電子郵件中，中華電信表示可能需要比2025年4月15日多三個月的時間，也就是到2025年7月15日。）
為了使該過渡成功，中華電信需要停止在 ePKI Root CA 下簽發 TLS 憑證，並/或確保能以及時且可控的方式替換證書鏈。
（📝 白話文：你跟我玩文字遊戲？）

我們關注的是台灣數位事務部（MODA）對中華電信 CA 運營的影響。我們希望中華電信能遵守業界標準，如 TLS 基準要求（TLS Baseline Requirements）

1. 包括向 GTLSCA-G2 CA 的全面過渡和驗收測試在內的所有必要工作，必須最遲在2025年7月15日之前完成。這一修訂後的3個月截止日期已經比2025年4月15日的原先日期大幅延長，同時也符合中華電信最初的電子郵件中提到的時間點。我們敦促您優先確保這一目標的實現。

2. 請至少⚠️每14天更新此問題的進展狀況。這些更新應清楚詳述達成關鍵里程碑的狀態、現存問題或可能出現的新問題的解決進展。

3. 中華電信必須確保在 ePKI Root CA 下的證書簽發迅速減少，並/或替換證書鏈等，避免出現最後一刻的意外。必須為此努力提供清晰的計劃，並每兩週進行更新。

4. 中華電信⚠️需要闡明其與 MODA 的合同義務，並解釋如何對其下屬 CA 進行適當的監督和治理——無論這些下屬 CA 是內部運營還是外部運營。
（📝 你們的進度有古怪，我看不懂）

接著 Ben 2025/03/31 發文表示收到台灣數發部的來函
我先放原文

為了保持透明性，Mozilla 收到了台灣數位事務部（MODA）於2025年3月15日發出的正式請求，要求我們延遲移除中華電信 (CHT) 的 ePKI Root CA 的「網站」（websites）信任位。根據 Mozilla 的根 CA 生命週期過渡計劃，目前預計該移除將在2025年4月15日左右執行。

MODA 解釋，請求延遲的目的是為了支持政府網站從 CHT 的 GTLSCA-G1 子 CA 所簽發的證書過渡的工作。如我們所理解，MODA 正在實施一項短期遷移計劃，該計劃涉及對政府網站新增大約12,000份雙重簽發的證書——其中一份由中華電信簽發，另一份由台灣證書公司 (TWCA) 簽發——以確保政府服務的持續可用性並將使用者影響降到最低。

目前，我們尚未做出最終決定，但正在考慮以下方案：
1️⃣ 延後移除「網站」信任位
2️⃣ 實施不信任生效日期
3️⃣ 採取其他符合 Mozilla 根存儲政策和生態系統風險管理的行動。

我們需注意以下事件：
1️⃣ ePKI Root CA 使用了一個4096位元的 RSA 密鑰，比其他類似年代的根證書提供更高的安全性。
2️⃣ 考慮中的任何延長都將嚴格限定時間範圍（例如，⚠️ 不超過2025年8月1日），這是一種短期權宜之計，而非改變長期政策方向。
3️⃣ Mozilla 保留基於新信息或風險因素變化，在任何時間移除或撤銷信任的權利。

📝 我的見解是，Ben 收到信件後為了避免被說是黑箱，因此在相關 report 中留下紀錄同時闡述了 Mozilla 未來可能會採取的方式，在方案中那邊可以看到，而考慮的條件或是 Mozilla 所關心的其中一點就是即使延長了也不可超過 2025年8月1日，所以可以判斷 Google 在 Chrome Blog 所說的移除信任其實是參考自 Mozilla 的條件，可能也不像是媒體渲染得那麼誇張

目前我得出的結論是：
1️⃣ 中華電信並不是因為有資料洩漏導致憑證不被信任
2️⃣ 不信任這個詞是針對憑證
3️⃣ 撤銷信任時間是 2025年3月31日就決定的

然後就是整件事情還有番外篇，所以晚點還會繼續連載

資料來源：
Google Security Blog 說明 Root Store 變動
https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html

中華電信人員請求延長撤銷信任的討論串
https://bugzilla.mozilla.org/show_bug.cgi?id=1891438

Ben 在外部 Google Groups 的紀錄
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/uYAm_c_pfos/m/Pz5m5PAZBwAJ

颱風天來修復大量大家回報的錯誤，順便水一下貼文。

⁉️ 更新內容：
1. 移除 Momo 購物查詢
▶️ Momo 他們將自己的查詢頁面給關掉了，暫時也沒有找到內部網頁可以查的管道所以只好拔了

2. 移除順風物流快遞查詢
▶️ 之前找到的順豐漏洞被修補了，暫時也還沒找到新的突破點只好先拔了

3. 移除 DHL 查詢
▶️ 同上，之前用奇怪的方式避免被人機驗證的方式他們也修了，暫時也還沒有新的想法

4. 修復萊爾富無法查詢問題
▶️ 他們大概是購入了新的防火牆設備，針對所有請求都撿查了個遍，原先省略的 headers 現在都會檢查一次了，太狠了兄弟，現在我給你補上了

5. 修復郵局無法查詢問題
▶️ 郵局在凌晨時新增了規則，禁止海外 IP 查詢，大概是跟前陣子中華餐餐飽 DDoS 有關係

💻 我要去打阿福模式了 再見

⚠️ 緊急公告
請不要使用「鏟子英雄」網頁註冊服務，有人在 threads 分享鏟子英雄網頁有相關的疑似資料外洩的情況，經過核實至今沒有修正，作者逼逼說他知道但他沒有打算修那是 feature

什麼意思我看不懂，反正就很荒謬 🥦

網站：
https://shovel-heroes.com

TW165 清單目前有大問題，建議先不要使用
正在處理中
再改了再改了 🫥🫥🫥

已經修復
此外有個 break change

https://filter.futa.gg/TW165-redirect.txt
⬇️
https://filter.futa.gg/TW165_redirect.txt

同時 abp 完整保留 165 提供的網址詳細到 Path 😣

⚠️ 中國飛牛 fnOS NAS 作業系統傳出有高危漏洞

只要 NAS 暴露在公開網路上就有可能被踹門，目前飛牛回應要求使用者更新到最新版本（不曉得 QNAP 要不要教一下公關）
目前有人提供以下 IP 以及域名供大家預防封鎖

https://t.me/DNSPODT/13043

109/7/30-8/5民眾通報假投資(博奕)詐騙網站

👉🤡

2017 寫的玩具被人家檢舉真的是有夠白癡，而且申訴成功解掉了今天又來兩次
🤡

感謝近期大批網友使用 FutaGuard 提供的免費 DNS，一下子大量的流量有點嚇到我 🥺

目前 FutaGuard 提供兩種加密 DNS 分別是 DoT 與 DoH
經過這幾天調整，DoT 的回應時間平均落在 35ms，DoH 的回應時間平均落在 47ms 🎉

然後經過朋友介紹我們現在獲得新的贊助商
天空數位 提供了優良的超低延遲的主機服務，讓 FutaGuard 的免費 DNS 能更上一層樓

同時也要感謝一直以來 Fast Line 台灣速連 公司贊助主機沒有他們 DoT 的服務也沒辦法持續那麼久

最後我們來看看新的網站 site.futa.gg 💐

Apple 的描述檔現在有簽發憑證了，但是在手機上衣就會顯示未驗證，在電腦上會正常打勾 👉