Détails Pourquoi est-ce important ?Comment réparer

Certificat d'appareil partagé

Plusieurs connexions simultanées utilisent le même certificat X.509 pour s'authentifier auprès d’AWS IoT.

Cette vérification apparaît comme DEVICE_CERTIFICATE_SHARED_CHECK dans la CLI et l'API.

Gravité : critique

Détails

Lorsqu'elle est effectuée dans le cadre d'un audit à la demande, cette vérification examine les certificats et les ID client qui ont été utilisés par les appareils pour se connecter au cours des 31 jours précédant le début de l'audit jusqu'à 2 heures avant l'exécution de la vérification. Pour les audits planifiés, cette vérification examine les données de 2 heures avant la dernière exécution de l'audit jusqu'à 2 heures avant le début de cette instance d'audit. Si vous avez pris des mesures pour atténuer cette condition pendant la période contrôlée, notez à quel moment les connexions simultanées ont été effectuées pour déterminer si le problème persiste.

Les codes de motif sont renvoyés lorsque ce contrôle trouve un certificat non conforme :

CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES

En outre, les résultats renvoyés par ce contrôle incluent l'ID du certificat partagé, les ID des clients utilisant le certificat pour se connecter et les heures de connexion/déconnexion. Les résultats les plus récents sont répertoriés en premier.

Pourquoi est-ce important ?

Chaque appareil doit avoir un certificat unique pour s'authentifier auprès d'AWS IoT. Lorsque plusieurs appareils utilisent le même certificat, cela peut indiquer qu'un appareil est compromis. Son identité peut avoir été clonée pour compromettre davantage le système.

Comment réparer

Vérifiez que le certificat d’appareil n’a pas été compromis. S’il l’a été, suivez les bonnes pratiques en matière de sécurité pour traiter cette situation.

Si vous utilisez le même certificat sur plusieurs appareils, vous pouvez :

Allouer de nouveaux certificats uniques et les attacher à chaque appareil.
Vérifier que les nouveaux certificats sont valides et que les appareils peuvent les utiliser pour se connecter.
Utiliser UpdateCertificate pour marquer l’ancien certificat comme REVOKED (RÉVOQUÉ) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les opérations suivantes :
- Appliquer l’action d’atténuation UPDATE_DEVICE_CERTIFICATE sur vos résultats d’audit pour effectuer ce changement.
- Appliquer l’action d’atténuation ADD_THINGS_TO_THING_GROUP pour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard.
- Appliquer l'action d’atténuation PUBLISH_FINDINGS_TO_SNS si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.
Pour en savoir plus, consultez Actions d'atténuation.
Détacher l’ancien certificat de chacun des appareils.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Le certificat CA révoqué est toujours actif

Qualité de la clé du certificat de l'appareil