惱人的GCP GTLSCA雙憑證架構申請
據悉是為強化政府網站服務韌性與國際信任接軌, 將導入政府網站雙憑證機制,然後惱人的憑證申請工作又出現了,距離上次GTLSCA出包才大概過了半年...
GTLSCA雙憑證架構
這個架構但看來文大概是說要網站同時申請CHT 中華電信與TWCA 台灣網路認證發行的憑證,以確保政府網站不會因為單一憑證過期或失效而造成網站服務中斷之情況。
進入GTLSCA申請畫面,確實可以看到需要使用者上傳兩個憑證的CSR檔案:
關鍵作法
目前我採用的作法是到IIS連續產生兩組憑證CSR,然後將這兩組CSR檔案上傳到GTLSCA的網站上,等候GTLSCA簽發的憑證下來,再將這兩組憑證安裝到IIS上,並且擇一設定到網站上,理論上這樣就可以完成客人的要求,若日後有問題會再上來補充。
所有申請動作可以參考申請、安裝與更新IIS內的SSL憑證(2048 Bits)這個網頁並自行彈性調整之。
感想
我是覺得這個雙憑證的機制有點多此一舉,因為真正出大事重要的機房或骨幹線路都被炸毀了,在這樣的狀態下就算多持有10組憑證其實沒啥鳥用。這樣的做法只是增加了網站的維護成本,被管理層拿來向上管理、嘴砲有在做事的證明罷了。
Update: 2025-06-03 事件更新
今日看到新聞發現原來GTLSCA雙憑證架構如此倉促上路,就是他媽的為了要攔截Chrome將從8月起停止預設信任中華電信TLS新憑證這件鳥事。數發部新聞稿表示:
今年3月已掌握情資,提前準備因應,在今年3月起啟動政府網站雙憑證機制,採用符合公開信任根憑證標準的本地憑證機構所簽發的憑證,確保當特定憑證被瀏覽器移除預設信任,仍可以替代的憑證運作,使政府機關網站在各瀏覽器均能正常瀏覽,政府公共服務的穩定度及可信度。
其實我覺得有問題就坦白地講清楚就好,身為資訊人員我是可以理解機關面對外在壓力的無奈,但這樣遮遮掩掩的做法只會讓人覺得政府部門在掩蓋問題,我並不認同。除此之外,我在網站上同時也看到一堆不明就裡的局外人在那邊喊到天好像快塌下來一樣,這些人根本不懂什麼是憑證、什麼是CA、什麼是TLS...真的是很搞笑。說穿了Google Chrome這個機制的出發點算是立意良善,但是鐵腕措施的做法卻讓人覺得有點過頭了,他要求的透明、合理維護、良好的營運未必就符合他國、他企業的流程制度,這樣的作法未免也太一言堂,超級令人噁心。
Google Chrome的歷史劣跡斑斑,我還是那句老話:「勇者屠龍後,勇者即是龍!」,請參考下列連結即可證明:
最後,至於天為何不會塌下來其實很簡單,Chrome的根憑證其實是綁定Windows系統下的憑證存放區,他把中華電信的根憑證移除你就把他加回去就好啦!嫌麻煩的話,你有Microsoft Edge或是其他的瀏覽器可以選擇啊,誰規定你的人生一定要這種正義魔人瀏覽器綁死?