Le certificat CA révoqué est toujours actif - AWS IoT Device Defender
DétailsPourquoi est-ce important ?Comment réparer

Le certificat CA révoqué est toujours actif

Un certificat CA a été révoqué, mais demeure actif dans AWS IoT.

Cette vérification apparaît comme REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK dans la CLI et l'API.

Gravité : critique

Détails

Un certificat CA est marqué comme étant révoqué dans la liste de révocation des certificats gérée par l'autorité d'émission mais est encore marqué comme étant ACTIVE (ACTIF) ou PENDING TRANSFER (EN ATTENTE DE TRANSFERT) dans AWS IoT.

Voici les codes de motif renvoyés lorsque ce contrôle trouve un certificat CA non conforme :

  • CERTIFICATE_REVOKED_BY_ISSUER

Pourquoi est-ce important ?

Un certificat CA révoqué ne doit plus être utilisé pour signer des certificats d'appareil. Il peut avoir été révoqué car compromis. Les appareils nouvellement ajoutés avec des certificats signés à l'aide de ce certificat CA peuvent constituer une menace à la sécurité.

Comment réparer

  1. Utilisez UpdateCACertificate pour marquer le certificat CA comme INACTIVE (INACTIF) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :

    • Appliquer l’action d’atténuation UPDATE_CA_CERTIFICATE sur vos résultats d’audit pour effectuer ce changement.

    • Appliquer l’action d’atténuation PUBLISH_FINDINGS_TO_SNS si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.

    Pour plus d’informations, consultez Actions d'atténuation.

  2. Vérifiez l’activité d’enregistrement de certificat d’appareil pendant la période après laquelle le certificat de CA a été révoqué et envisagez de révoquer les certificats d’appareil qui ont pu être émis pendant cette période. Utilisez ListCertificatesByCA pour répertorier les certificats d'appareil signés par le certificat CA et UpdateCertificate pour révoquer un certificat d'appareil.