El certificado de entidad de certificación revocado sigue activo
Se revocó un certificado de entidad de certificación pero sigue activo en AWS IoT.
Esta comprobación aparece como REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK en la CLI y la API.
Gravedad: crítica
Detalles
Un certificado de entidad de certificación está marcado como revocado en la lista de revocación de certificados mantenida por la entidad emisora, pero sigue marcado como “ACTIVE” o “PENDING_TRANSFER” en AWS IoT.
Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra un certificado de entidad de certificación no conforme:
-
CERTIFICATE_REVOKED_BY_ISSUER
¿Por qué importa?
Un certificado de entidad de certificación revocado no debe utilizarse nunca más para firmar certificados de dispositivos. Puede que se haya revocado porque ha sufrido un ataque. Los dispositivos agregados recientemente con certificados firmados con este certificado de entidad de certificación pueden constituir una amenaza para la seguridad.
Cómo solucionarlo
-
Utilice UpdateCACertificate para marcar el certificado de entidad de certificación como INACTIVO en AWS IoT. También puede utilizar acciones de mitigación para:
-
Aplicar la acción de mitigación
UPDATE_CA_CERTIFICATEen los resultados de la auditoría para realizar este cambio. -
Aplique la acción de mitigación
PUBLISH_FINDINGS_TO_SNSpara implementar una respuesta personalizada al mensaje de Amazon SNS.
Para obtener más información, consulte Acciones de mitigación.
-
-
Revise la actividad de registro de certificados de dispositivo realizada después de que se revocara el certificado de entidad de certificación y considere la posibilidad de revocar los certificados de dispositivo que se hayan podido emitir durante este período. Puede utilizar ListCertificatesByCA para obtener una lista de los certificados de dispositivo firmados con el certificado de entidad de certificación y UpdateCertificate para revocar un certificado de dispositivo.
