重要通知-2026.05.04起,TLS/SSL憑證鏈更新
因應 Chrome 政策規定[註1],自2026年5月4日起,TWCA 憑證鏈將更新為 CYBER Root。
1. 如有以下狀況,務必提早安排:
- 有綁定憑證鏈於 APP 或主機者,可即早佈署新憑證鏈(如下表連結)並安排更新;若無綁定需求者,可待新憑證簽發後再行安裝即可。
- 新的憑證鏈不再支援具有 clientAuth 功能(用戶端驗證),於緩衝期(2026/05/04~2027/02/28)內有此需求之用戶,請在申請憑證前通知TWCA。
備註:配合國際規範變更,原緩衝截止日2026/06/15延長至2027/02/28
- 2027/03/01後仍有 clientAuth 功能(用戶端驗證)需求者,請與 TWCA 洽詢採購AP憑證。
2. Apple 裝置連線告警風險
針對使用 IIS 之站台,由於受微軟政策影響,Apple 裝置用戶 (iOS/macOS) 可能會出現「不信任站台」之警告,解決方式請參閱說明 [註2]。
|
新憑證鏈 (2026/05/04 起) |
|
|
第 1 層:根憑證 (Root CA) 第 2 層:跨認證根憑證 (CYBER Root CA) 第 3 層:中繼憑證 (Intermediate CA) ※ 依申請類型二選一 (1)一般 SSL 專用 TWCA SSL CA (2)EV SSL 專用 TWCA EVSSL CA 第 4 層:終端憑證 (End Entity) Server Certificate (您的站台憑證) -- 由 TWCA 簽發 |
[註1] Chrome Root Program Policy:點此開啟
[註2] IIS 站台 Apple 裝置不信任解決方式:點此開啟說明網頁
Q&A
Q1:如何知道憑證是否具有「用戶端驗證」功能?
A:開啟憑證後檢查「增強金鑰使用方法」欄位是否具有「用戶端驗證(1.3.6.1.5.5.7.3.2)」,現行 TWCA 所有核發的 TLS 憑證都會具有此功能,而未來依規定 TLS 憑證不得再具有此功能。
Q2:為何原憑證會有「用戶端驗證」功能?
A:未規範前,憑證本身就有支援「用戶端驗證」和「伺服器驗證」;而新規範則要求憑證不得再支援「用戶端驗證」。(有使用此種驗證方式者少之又少,故新規範僅影響少量用戶。)
Q3:我有使用「用戶端驗證」功能,且我的憑證仍在有效期內,這用戶端驗證是否仍有效?
A:是。憑證仍在有效期內的「用戶端驗證」不受影響。另 2026/05/04 起,若仍有「用戶端驗證」需求者,有兩種選擇:
- 在憑證申請前告知 TWCA 需要使用用戶端驗證功能,但 2027/03/01 起,必須遵守新規範,則無法再提供。
- 另行購買 AP 憑證,請與 TWCA 洽詢採購。
Q4:在 2027/03/01 後,若仍有「用戶端驗證」的需求,該怎麼做?
A:可來信至 SSLCC@twca.com.tw 洽詢 AP 憑證的採購及申請。
Q5:我們系統要求同時具有「用戶端驗證」和「伺服器驗證」,怎麼辦?
A:2027/03/01 前,在申請時有提出此種需求者仍可簽發具上述兩種功能之憑證,唯建議務必提早更新系統。
2027/03/01 之後若仍需「用戶端驗證」功能者,請參考 Q4 回答。
Q6:我們網站使用 mTLS 驗證(雙向驗證),是否受影響?
A:不影響,但要確保用戶端提供的憑證具有「用戶端驗證」功能。
若仍有其他問題,請來電客戶服務中心:(02) 2370-8886 分機 9
臺灣網路認證股份有限公司敬啟
