Certificato CA revocato ancora attivo
Un certificato CA è stato revocato, ma è ancora attivo in AWS IoT.
Questo controllo viene visualizzato come REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK nell’interfaccia a riga di comando e nell’API.
Gravità: Critico
Informazioni
Un certificato CA è contrassegnato come revocato nell'elenco di revoche di certificati gestito dall'autorità emittente, ma è ancora contrassegnato come "ACTIVE" o "PENDING_TRANSFER" in AWS IoT.
Quando questo controllo trova un certificato CA non conforme, vengono restituiti i codici motivo seguenti:
-
CERTIFICATE_REVOKED_BY_ISSUER
Perché è importante
Un certificato CA revocato non deve più essere usato per firmare i certificati dei dispositivi. È possibile che sia stato revocato perché è compromesso. I nuovi dispositivi aggiunti con certificati firmati utilizzando questo certificato CA possono rappresentare una minaccia per la sicurezza.
Come risolvere il problema
-
Utilizza UpdateCACertificate per contrassegnare il certificato CA come INACTIVE in AWS IoT. Puoi anche usare le operazioni di mitigazione per:
-
Applicare l'operazione di mitigazione
UPDATE_CA_CERTIFICATEsui risultati di audit per apportare questa modifica. -
Applica l'operazione di mitigazione
PUBLISH_FINDINGS_TO_SNSper implementare una risposta personalizzata al messaggio di Amazon SNS.
Per ulteriori informazioni, consultare Operazioni di mitigazione.
-
-
Rivedi l'attività di registrazione del certificato del dispositivo nel periodo successivo alla revoca del certificato CA e prendi in considerazione la possibilità di revocare eventuali certificati del dispositivo che possono essere stati emessi durante tale periodo. Puoi utilizzare ListCertificatesByCA per elencare i certificati del dispositivo firmati dal certificato CA e UpdateCertificate per revocare un certificato del dispositivo.
