您的網站使用中華電信 SSL 憑證嗎?從 Chrome 139 起,這可能觸發紅色警告!Google 於 2025 年 5 月 30 日宣布,自 Chrome 139 起,預設移除對中華電信(CHT HiPKI)與 NetLock 新發憑證的信任。凡 Signed Certificate Timestamp(SCT)早於 2025-07-31 23:59:59 UTC 的憑證不受波及;之後簽發或續期者,Chrome 將直接標示不安全連線。Google 指出主因為「長期合規缺失且改善成效不足」。
▋「不受信任」實際會發生什麼事?
| 影響面向 | 可能現象 | 對經營者的風險 |
|---|---|---|
| 瀏覽體驗 | Chrome 顯示「連線不安全」紅色警告或 ERR_CERT_INVALID,阻擋進站 | 用戶流失、品牌信賴度下降 |
| SEO | Google 依 HTTPS 安全性評分;長時間警告可能拉低排名 | 流量減少、轉換率下降 |
| API / 行動 App | 依賴 WebTLS 驗證的 API 連線失敗 | 服務中斷、APP 評價下滑 |
| 串接服務 | 支付、SSO、OAuth 等第三方回呼被拒絕 | 金流停擺、登入失敗 |
▋如果您目前使用中華電信 SSL 憑證,Chrome 139 發佈後實際影響?
- 到期日在 2025-07-31(含)以前
- 仍可於 Chrome 正常運作直至失效日。
- 建議提前 30–60 天改掛其他可信 CA,避免到期換證踩雷。
- 新購或續期(2025-08-01 起)
- 立即被 Chrome 標示不受信任。Edge、Safari 目前仍信任,但隨時可能跟進。
▋該如何確認自己是否受影響?四步驟快速因應
- 盤點:列出所有使用 CHT 憑證之網域/子網域(含 CDN、API Gateway 和測試站)。
- 檢測:用 chrome://settings/security 或線上 SSL Scanner 檢查憑證路徑是否含「Chunghwa Telecom Root CA」。
- 替換:選擇國際信任度高的 SSL 憑證品牌。
- 更新憑證:申請新的憑證並安裝。
▋該更換哪家憑證?
首要評估要素就是確保新 SSL 憑證廠牌瀏覽器是否完全信任,這樣才能確保用戶瀏覽時仍看到綠鎖,網站的功能都能順利運行,不被影響中斷;而該廠商否能提供足夠的憑證服務支援,如技術 know how、續約處理與憑證置換(或憑證更新)的協助也很重要,可關心憑證快到期時的續約模式是否符需求,例如:是否會主動提醒憑證快到期該續約了、提前多久通知,是否有足夠時間處理續約與更換憑證,這樣已經解決了 90 % 的風險。接著,可再了解看看憑證機構(CA)的市場聲譽,歷年是否曾被瀏覽器撤信、審查流程是否成熟;這些都攸關未來的長期穩定性。
Cloudmax 匯智提供 DigiCert 旗下 GeoTrust 與全球老牌 CA GlobalSign 的 SSL 憑證。透過匯智申請,您可享本地採購流程、中文技術顧問與 20 年以上網站代管經驗所累積的實務 Know-how。我們熟悉各種伺服器與雲端環境的憑證配置,能在穩定、安全、自動化的前提下,協助企業快速完成換證並即時排除潛在問題。
- 了解 GlobalSign SSL 方案:https://www.cloudmax.com.tw/product/ssl-certificate#globalsign-ssl
- 了解 GeoTrust SSL 方案:https://www.cloudmax.com.tw/product/ssl-certificate#geotrust-ssl
▋為什麼許多企業改採 Cloudmax 匯智 SSL 服務?
| Cloudmax | 對用戶的好處 |
|---|---|
| 全球信任 CA | 嚴選 DigiCert、GlobalSign 等一線 CA,100% 相容主流瀏覽器與裝置 |
| 續約提醒 | 提早並主動通知憑證到期需續約,保留足夠時間更新憑證,避免安全出現空窗期 |
| 技術基底扎實 | 熟稔各種伺服器與雲端環境的憑證配置,擁有多年 SSL 憑證服務提供經驗 |
| 台灣在地支援 | 中文工程師協助 + 專屬顧問協助分析適合的憑證方案,無需跨國採購與處理稅的問題,技術背景客服人員協助您排除問題 |
以下總結及整理幾個常見問題,供快速查找了解。
常見問答(FAQ)
1. 為什麼 Google 停止信任中華電信與 NetLock 憑證?
Chrome 團隊指出,兩家 CA 在稽核合規層面累積多項缺失且改善有限,因此自 2025 / 8 / 1 起不再預設信任其新簽發憑證。(Google Security Blog 原公告:Sustaining Digital Certificate Security – Upcoming Changes to the Chrome Root Store)
2. Chrome 139 何時強制更新?
2025/08/01 起逐步推送。
3. Chrome 139 的變動會影響 Edge、Safari 或 Firefox 嗎?
目前僅 Chrome 採用自家 Root Store,因此 Edge、Safari、Firefox 暫不受影響;但業界常見「跟進效應」,仍建議及早換證。
4. 只有 Chrome 受影響,我可不管?
目前雖只有 Chrome 公告,其他瀏覽器尚未跟進,但建議仍盡速更換。Chrome 在台灣瀏覽器市佔超過 70%,且其他瀏覽器有機會同步政策,同時用戶採用哪種瀏覽器是企業無法掌握的,因此對企業品牌形象與營運經營面來評估,盡速更換是最佳的方式。
5. 我的憑證是 2025 / 7 / 31 前簽發,是否一定要馬上換?
舊憑證在到期前仍被 Chrome 信任,但建議至少提前 30 天規劃替換,避免到期後自動續期踩到新政策。
6. 如何快速檢查網站是否使用中華電信 SSL 憑證?
在 Chrome 位址列點擊鎖頭 →「憑證」,若「發行者」欄顯示 Chunghwa Telecom Root CA 或 HiPKI,即屬於被影響範圍。也可用 openssl s_client 查看 Issuer。
7. 繼續使用不受信任憑證,SEO 會受什麼影響?
憑證不受信任時,Chrome 會先顯示紅色警告,跳出率提高 → 使用體驗分數下降 → 可能拖累 Google 搜尋排名與轉換率。
8. 可以在伺服器同時掛兩張憑證暫時過渡嗎?
技術上可行(Nginx 允許多組 ssl_certificate),但仍需在瀏覽器協商時提供可信 CA;建議視為短期權宜,盡速統一至新憑證。
9. 若暫時無法換證,能否用 Local Trust 例外解決?
企業內部可將根憑證加入作業系統或 MDM 信任清單,但僅適用封閉網路;對公開網站並非長久之計。
10. 改用 DigiCert GeoTrust、GlobalSign 或其他 CA 時要注意什麼?
留意瀏覽器預載信任、ACME 自動化、核發速度及 SLA;Cloudmax 提供本地採購、中文顧問與 20 年實務經驗,可協助零停機換證。
憑證信任鏈的任何變動,對網站營運與使用者信賴都會產生連鎖效應。目前已確認的是中華電信(CHT HiPKI)與 NetLock 自 2025-08-01 起新發憑證將不受 Chrome 信任,當憑證不受信任時,對企業品牌、營運穩定都將帶來影響,建議及早盤點並切換至其他全球信任度高的 SSL 服務,是每位網站負責人的當務之急。
若您需要一站式的 SSL 解決方案或技術協助,Cloudmax 匯智的團隊隨時為您服務,協助您在最短時間內完成安全、無縫的憑證轉移,確保業務不中斷、用戶體驗不打折;同時也將主動提醒用戶新消息及即時續約,不用怕過期忘記、網站顯示不安全或網站看不到的問題。
Image by AI-generated via ChatGPT / DALL·E
歡迎轉載!請見:轉載原則。
⭐ 本文有幫助嗎?您的鼓勵是我們源源不斷的動力,歡迎【留下好評】⭐
