取り消されたデバイス証明書がアクティブのままです - AWS IoT Device Defender
詳細重要な理由修正方法

取り消されたデバイス証明書がアクティブのままです

取り消されたデバイス証明書がアクティブのままです。

このチェックは、CLI および API で REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK として表示されます。

重大度:

詳細

デバイス証明書は、CA の 証明書失効リストに含まれていますが、AWS IoT ではまだアクティブなままです。

このチェック項目は、「ACTIVE」または「PENDING_TRANSFER」になっているデバイス証明書に適用されます。

このチェックにより不適合が見つかった場合、次の理由コードが返されます。

  • CERTIFICATE_REVOKED_BY_ISSUER

重要な理由

デバイス証明書が取り消されるのは、通常侵害されたためです。エラーや見落としのため、AWS IoT でまだ取り消されていない可能性があります。

修正方法

デバイス証明書が侵害されていないことを確認します。侵害されている場合は、セキュリティのベストプラクティスに従って状況を軽減します。以下を行うことができます。

  1. デバイスの新しい証明書をプロビジョニングします。

  2. 新しい証明書が有効で、デバイスが接続するためにその証明書を使用できることを確認します。

  3. UpdateCertificate を使用して、AWS IoT で古い証明書を REVOKED としてマークします。緩和アクションを使用して、以下を行うこともできます。

    • 監査結果に UPDATE_DEVICE_CERTIFICATE 緩和アクションを適用して、この変更を行います。

    • ADD_THINGS_TO_THING_GROUP 緩和アクションを適用して、アクションを実行できるグループにデバイスを追加します。

    • Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、PUBLISH_FINDINGS_TO_SNS 緩和アクションを適用します。

    詳細については、「緩和アクション」を参照してください。

  4. 古い証明書をデバイスからデタッチします。(「DetachThingPrincipal」を参照してください)。