CA intermedia revocata per il controllo attivo dei certificati del dispositivo - AWS IoT Device Defender
InformazioniPerché è importanteCome risolvere il problema

CA intermedia revocata per il controllo attivo dei certificati del dispositivo

Utilizzare questo controllo per identificare tutti i certificati dei dispositivi correlati che sono ancora attivi nonostante la revoca di una CA intermedia.

Questo controllo viene visualizzato come INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK nell’interfaccia a riga di comando e nell’API.

Gravità: Critico

Informazioni

Quando questo controllo trova una condizione di non conformità, vengono restituiti i codici motivo seguenti:

  • INTERMEDIATE_CA_REVOKED_BY_ISSUER

Perché è importante

La CA intermedia revocata per il controllo dei certificati dei dispositivi attivi valuta l'identità e l'attendibilità del dispositivo, determinando se ci sono certificati dei dispositivi attivi in AWS IoT Core in cui le CA emittenti intermedie sono state revocate nella catena CA.

Una CA intermedia revocata non deve più essere utilizzata per firmare qualsiasi altra CA o certificati dei dispositivi nella catena CA. I nuovi dispositivi aggiunti con certificati firmati utilizzando questo certificato CA dopo che la CA intermedia viene revocata rappresenteranno una minaccia per la sicurezza.

Come risolvere il problema

Esamina l'attività di registrazione del certificato del dispositivo nel periodo successivo alla revoca del certificato CA. Seguire le best practice di sicurezza per mitigare la situazione. È possibile:

  1. Eseguire il provisioning di nuovi certificati, firmati da una CA diversa, per i dispositivi interessati.

  2. Verificare che i nuovi certificati siano validi e che possano essere utilizzati dai dispositivi per connettersi.

  3. Utilizza UpdateCertificate per contrassegnare il certificato precedente come REVOKED in AWS IoT. Puoi anche usare le operazioni di mitigazione per:

    • Applicare l'operazione di mitigazione UPDATE_DEVICE_CERTIFICATE sui risultati di audit per apportare questa modifica.

    • Applicare l'operazione di mitigazione ADD_THINGS_TO_THING_GROUP per aggiungere il dispositivo a un gruppo nel quale puoi agire su di esso.

    • Applica l'operazione di mitigazione PUBLISH_FINDINGS_TO_SNS per implementare una risposta personalizzata al messaggio di Amazon SNS.

    • Rivedere l'attività di registrazione del certificato del dispositivo nel periodo successivo alla revoca del certificato CA intermedio e prendere in considerazione la possibilità di revocare eventuali certificati del dispositivo che possono essere stati emessi durante tale periodo. È possibile utilizzare ListRelatedResourcesForAuditFinding per elencare i certificati dei dispositivi firmati dal certificato CA e UpdateCertificate per revocare un certificato del dispositivo.

    • Scollegare il vecchio certificato dal dispositivo. (Consultare DetachThingPrincipal).

    Per ulteriori informazioni, consultare Operazioni di mitigazione.