Un certificado del dispositivo revocado sigue activo - AWS IoT Device Defender
Detalles¿Por qué importa?Cómo solucionarlo

Un certificado del dispositivo revocado sigue activo

Un certificado del dispositivo revocado sigue activo.

Esta comprobación aparece como REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK en la CLI y la API.

Gravedad: media

Detalles

Un certificado de dispositivo no está en la lista de revocación de certificados de CA, pero sigue activo en AWS IoT.

Esta comprobación se aplica a los certificados de dispositivo ACTIVE o PENDING_TRANSFER.

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra una falta de conformidad:

  • CERTIFICATE_REVOKED_BY_ISSUER

¿Por qué importa?

Un certificado de dispositivo generalmente se revoca porque ha sufrido un ataque. Es posible que aún no se haya revocado en AWS IoT debido a un error o un descuido.

Cómo solucionarlo

Compruebe que el certificado del dispositivo no ha sufrido un ataque. Si ha sido atacado, siga las prácticas recomendadas de seguridad para mitigar la situación. Es posible que desee:

  1. Aprovisionar un nuevo certificado para el dispositivo.

  2. Verificar que el nuevo certificado sea válido y que el dispositivo pueda usarlo para conectarse.

  3. Utilice UpdateCertificate para marcar el certificado antiguo como REVOCADO en AWS IoT. También puede utilizar acciones de mitigación para:

    • Aplicar la acción de mitigación UPDATE_DEVICE_CERTIFICATE en los resultados de la auditoría para realizar este cambio.

    • Aplicar la acción de mitigación ADD_THINGS_TO_THING_GROUP para agregar el dispositivo a un grupo en el que puede tomar medidas.

    • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS.

    Para obtener más información, consulte Acciones de mitigación.

  4. Desvincular el certificado antiguo del dispositivo. (Consulte DetachThingPrincipal.)