Das gesperrte Zertifikatstellen-Zertifikat ist immer noch aktiv. - AWS IoT Device Defender
DetailsWarum dies wichtig istSo lässt es sich beheben

Das gesperrte Zertifikatstellen-Zertifikat ist immer noch aktiv.

Ein CA-Zertifikat wurde gesperrt, ist in AWS IoT aber weiterhin aktiv.

Diese Prüfung wird wie REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK in der CLI und API angezeigt.

Schweregrad: Kritisch

Details

Ein CA-Zertifikat ist in der von der ausstellenden Behörde geführten Zertifikatssperrliste als gesperrt gekennzeichnet, ist in AWS IoT jedoch weiterhin als ACTIVE oder PENDING TRANSFER markiert.

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung ein nicht-konformes Zertifizierungsstellen-Zertifikat findet:

  • CERTIFICATE_REVOKED_BY_ISSUER

Warum dies wichtig ist

Ein gesperrtes CA-Zertifikat sollte nicht mehr zum Signieren von Gerätezertifikaten verwendet werden. Es wurde möglicherweise widerrufen, da es kompromittiert wurde. Neu hinzugefügte Geräte mit Zertifikaten, die mit diesem CA-Zertifikat signiert wurden, stellen möglicherweise ein Sicherheitsrisiko dar.

So lässt es sich beheben

  1. Verwenden Sie UpdateCACertificate zum Kennzeichnen des CA-Zertifikats als INACTIVE in AWS IoT. Sie können Abhilfemaßnahmen auch für Folgendes verwenden:

    • Wenden Sie die Abhilfemaßnahme UPDATE_CA_CERTIFICATE auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen.

    • Wenden Sie die Abhilfemaßnahme PUBLISH_FINDINGS_TO_SNS an, um eine benutzerdefinierte Antwort als Reaktion auf die Amazon SNS-Nachricht zu implementieren.

    Weitere Informationen finden Sie unter Abschwächungsaktionen.

  2. Überprüfen Sie die Gerätezertifikat-Registrierungsaktivität für die Zeit nach dem Widerruf des CA-Zertifikats und ziehen Sie in Betracht, alle Gerätezertifikate, die während dieser Zeit ausgestellt wurden, zu widerrufen. Verwenden Sie ListCertificatesByCA zum Auflisten der mit dem CA-Zertifikat signierten Gerätezertifikate und UpdateCertificate zum Sperren eines Gerätezertifikats.