Un certificat d'appareil révoqué est toujours actif.
Un certificat d'appareil révoqué est toujours actif.
Cette vérification apparaît comme REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK dans la CLI et l'API.
Gravité : Moyenne
Détails
Un certificat d'appareil figure dans la liste de révocation des certificats
Ce contrôle s’applique aux certificats d’appareil qui sont ACTIVE ou PENDING_TRANSFER.
Les codes de motif sont renvoyés lorsque ce contrôle trouve une non-conformité :
-
CERTIFICATE_REVOKED_BY_ISSUER
Pourquoi est-ce important ?
Un certificat d'appareil est généralement révoqué s'il a été compromis. Il est possible qu'il n'ait pas encore été révoqué dans AWS IoT en raison d'une erreur ou d'une omission.
Comment réparer
Vérifiez que le certificat d’appareil n’a pas été compromis. S’il l’a été, suivez les bonnes pratiques en matière de sécurité pour traiter cette situation. Il se peut que vous souhaitiez :
-
Allouer un nouveau certificat pour l'appareil.
-
Vérifier que le nouveau certificat est valide et que l’appareil peut l’utiliser pour se connecter.
-
Utiliser UpdateCertificate pour marquer l’ancien certificat comme REVOKED (RÉVOQUÉ) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :
-
Appliquer l’action d’atténuation
UPDATE_DEVICE_CERTIFICATEsur vos résultats d’audit pour effectuer ce changement. -
Appliquer l’action d’atténuation
ADD_THINGS_TO_THING_GROUPpour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard. -
Appliquer l'action d’atténuation
PUBLISH_FINDINGS_TO_SNSsi vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.
Pour en savoir plus, consultez Actions d'atténuation.
-
-
Détacher l’ancien certificat de l’appareil. (Voir DetachThingPrincipal.)
