Certificado revogado do dispositivo ainda ativo - AWS IoT Device Defender
DetalhesPor que isso importa?Como corrigir

Certificado revogado do dispositivo ainda ativo

Um certificado revogado do dispositivo ainda está ativo.

Essa verificação aparece como REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK na CLI e na API.

Severidade: média

Detalhes

Um certificado de dispositivo está na lista de revogação de certificados, mas ainda está ativo na AWS IoT.

Essa verificação se aplica a certificados de dispositivo que estão ACTIVE ou PENDING_TRANSFER.

Os códigos de motivo a seguir são retornados quando essa verificação encontra não compatibilidade:

  • CERTIFICATE_REVOKED_BY_ISSUER

Por que isso importa?

Um dispositivo de certificado, em geral, é revogado porque foi comprometido. É possível que ele ainda não tenha sido revogado na AWS IoT devido a um erro ou uma supervisão.

Como corrigir

Verifique se o certificado de dispositivo não foi comprometido. Se foi, siga as práticas recomendadas de segurança para atenuar a situação. Talvez você queira:

  1. Provisione um novo certificado para o dispositivo.

  2. Verifique se o novo certificado é válido e se o dispositivo pode usá-lo para se conectar.

  3. Use UpdateCertificate para marcar o certificado antigo como REVOKED no AWS IoT. Você também pode usar ações de mitigação para:

    • Aplicar a ação de mitigação UPDATE_DEVICE_CERTIFICATE em suas descobertas de auditoria para fazer essa mudança.

    • Aplicar a ação de mitigação ADD_THINGS_TO_THING_GROUP para adicionar o dispositivo a um grupo, onde é possível executar uma ação sobre ele.

    • Aplicar a ação de mitigação PUBLISH_FINDINGS_TO_SNS se você desejar implementar uma resposta personalizada em resposta à mensagem do Amazon SNS.

    Para ter mais informações, consulte Ações de mitigação.

  4. Desanexe o antigo certificado do dispositivo. (Consulte DetachThingPrincipal.)