>Google 強調，企業或個人若透過系統設定明確信任上述憑證（例如透過 Windows 群組原則手動安裝），仍可繼續使用這些憑證，不受預設限制影響。
back to the 90's

[網路]SSL安全根憑證安裝步驟及相關說明 - 國立清華大學工程與系統科學系
到底有多少人還記得這個

Google Chrome to Distrust Chunghwa Telecom & NetLock...

Backend 台灣 (Backend Tw... on Facebook

中華電信有個 中華CA 的子單位，工作是幫政府部門簽發 CA 憑證，可想像就是幫政府等單位配給網路用的電子鎖

2024 3 月， 中華CA（TMK） 在火狐社群回報自己發的電子鎖用了錯誤的設計（EKU，雖然這算小問題）。
但這份報告寫的不好，社群的人要求照良好的格式補充報告（補時間軸、發生原因、如何發現等）。然後開始追問要 TMK 補交資料。追問的途中查看他的報告...發現中華CA簽出的電子鎖，登錄的區碼（OID）登去葉門（把區碼和電話區碼搞混了，歷史共業）

於是現在有兩個問題要修，EKU 和 OID 。
照安全性原則，大部份的資安問題都是要求更新密碼，但 TMK 在台灣是乙方（下略），回報不能要求使用者更新密碼/電子鎖。
於是繼續被質疑，你是保安公司，客戶無法尊守安全規範，實際上到底影響了什麼。要是客戶的電子鎖真的被盜用，還是要面對一樣的問題。

所以在這時就被 chrome 團隊列進觀察名單了。
1903066 - Chunghwa Telecom: Delayed Revocation with ...

合規改善不符要求，Chrome將從8月起停止預設信任中華電信TLS新憑證

看不懂雙憑證怎麼處理（一站無法掛二鎖）
GCP政府憑證入口網-申請TLS類憑證 步驟1
結果是買兩把鎖，時間到了自己改掛 TWCA ????

再精簡一次連環三階爆
- 最初被發現 EKU 問題，報告不清被追問
- 追問時被分析還有其他設計問題（OID），要求得換第二次鎖
- 回報無能力再為了 OID 快速換鎖（而且第一次EKU已經是不合格的慢），被質疑不可靠
So now

再多講點尷尬的問題

追流行來說，如果支持 AI 主權的概念，其實CHT 做的事算合理（想想安全名單是誰說了算）
所以我認為最大的敗筆一直是第三點
但請來的人可能被預期只能作為工人，不一定有能耐斡旋（畢竟是乙方），所以也只能吃瓜

讀懂資安新聞 - Chrome 為什麼取消中華電信的根憑證信任？-黑暗執行緒今年 3 月出事才是主因？但這個出事可能也是基於去年 5 月的事件才有大遷徙？
這樣表示瓜要加上第 4 點？

最後這個真的只能怪 CHT 了...便宜行事廣灑保全系統，沒合約的也安裝。再被異業巡警抓包

去年相較之下都是鳥毛問題了，今年這個才是被拔白名單的大事

看懂中華電信憑證遭 Google 撤信 6 項缺失：遇到 Chrome 不信任畫面怎麼辦？ - elec...背後作者厲害

但也沒提到今年3月的事件

2017自己的安全自己掌握，Google設立根憑證機構GTS掌管自家與Alphabet所有憑證發行20187月出爐的Chrome 68將把所有HTTP網站列為不安全

臺灣首度引爆憑證信任危機（一）：中華電信憑證失效，連自家網站的憑證都要跟別人買