Se ha revocado la entidad de certificación intermedia para comprobar los certificados de los dispositivos activos - AWS IoT Device Defender

Se ha revocado la entidad de certificación intermedia para comprobar los certificados de los dispositivos activos

Utilice esta comprobación para identificar todos los certificados de dispositivos relacionados que siguen activos a pesar de haber revocado una entidad de certificación intermedia.

Esta comprobación aparece como INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK en la CLI y la API.

Gravedad: crítica

Detalles

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra una falta de conformidad:

  • INTERMEDIATE_CA_REVOKED_BY_ISSUER

¿Por qué importa?

La entidad de certificación intermedia revocada para los certificados de dispositivo activos comprueba la identidad y la confianza del dispositivo, determinando si hay certificados de dispositivo activos en AWS IoT Core en los que las entidades de certificación intermedias hayan sido revocadas en la cadena de la entidad de certificación.

Una entidad de certificación intermedia revocada ya no debe utilizarse para firmar ningún otro certificado de entidad de certificación o dispositivo de la cadena de entidad de certificación. Los dispositivos recién agregados con certificados firmados con este certificado de entidad de certificación después de que se revoque la entidad de certificación intermedia supondrán una amenaza para la seguridad.

Cómo solucionarlo

Revise la actividad de registro del certificado de entidad de certificación del dispositivo durante el tiempo posterior a la revocación del certificado de entidad de certificación. Siga las prácticas recomendadas de seguridad para mitigar la situación. Es posible que desee:

  1. Aprovisione nuevos certificados, firmados por una entidad de certificación diferente, para los dispositivos afectados.

  2. Verifique que los nuevos certificados sean válidos y que los dispositivos puedan usarlos para conectarse.

  3. Utilice UpdateCertificate para marcar el certificado antiguo como REVOCADO en AWS IoT. También puede utilizar acciones de mitigación para:

    • Aplicar la acción de mitigación UPDATE_DEVICE_CERTIFICATE en los resultados de la auditoría para realizar este cambio.

    • Aplicar la acción de mitigación ADD_THINGS_TO_THING_GROUP para agregar el dispositivo a un grupo en el que puede tomar medidas.

    • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS.

    • Revise la actividad de registro de certificados de dispositivo realizada después de que se revocara el certificado de entidad de certificación intermedia y considere la posibilidad de revocar los certificados de dispositivo que se hayan podido emitir durante este período. Puede utilizar ListRelatedResourcesForAuditFinding para obtener una lista de los certificados de dispositivo firmados con el certificado de entidad de certificación y UpdateCertificate para revocar un certificado de dispositivo.

    • Desvincular el certificado antiguo del dispositivo. (Consulte DetachThingPrincipal.)

    Para obtener más información, consulte Acciones de mitigación.