CA menengah dicabut untuk pemeriksaan sertifikat perangkat aktif - AWSIoT Device Defender
DetailMengapa itu pentingBagaimana cara memperbaikinya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CA menengah dicabut untuk pemeriksaan sertifikat perangkat aktif

Gunakan pemeriksaan ini untuk mengidentifikasi semua sertifikat perangkat terkait yang masih aktif meskipun telah mencabut CA perantara.

Pemeriksaan ini muncul seperti INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK pada CLI danAPI.

Tingkat keparahan: Kritis

Detail

Kode alasan berikut dikembalikan saat pemeriksaan ini menemukan ketidakpatuhan:

  • INTERMEDIATE_CA_ REVOKED _OLEH_ ISSUER

Mengapa itu penting

CA perantara yang dicabut untuk pemeriksaan sertifikat perangkat aktif menilai identitas dan kepercayaan perangkat, dengan menentukan apakah ada sertifikat perangkat aktif di AWS IoT Core mana penerbitan perantara CAs telah dicabut dalam rantai CA.

CA perantara yang dicabut seharusnya tidak lagi digunakan untuk menandatangani CA atau sertifikat perangkat lain dalam rantai CA. Perangkat yang baru ditambahkan dengan sertifikat yang ditandatangani menggunakan sertifikat CA ini setelah CA perantara dicabut akan menimbulkan ancaman keamanan.

Bagaimana cara memperbaikinya

Tinjau aktivitas pendaftaran sertifikat perangkat untuk waktu setelah sertifikat CA dicabut. Ikuti praktik terbaik keamanan Anda untuk mengurangi situasi. Anda mungkin ingin:

  1. Menyediakan sertifikat baru, yang ditandatangani oleh CA yang berbeda, untuk perangkat yang terpengaruh.

  2. Verifikasi bahwa sertifikat baru valid, dan perangkat dapat menggunakannya untuk terhubung.

  3. Gunakan UpdateCertificateuntuk menandai sertifikat lama seperti REVOKED dalam AWS IoT. Anda juga dapat menggunakan tindakan mitigasi untuk:

    • Terapkan tindakan UPDATE_DEVICE_CERTIFICATE mitigasi pada temuan audit Anda untuk membuat perubahan ini.

    • Terapkan tindakan ADD_THINGS_TO_THING_GROUP mitigasi untuk menambahkan perangkat ke grup tempat Anda dapat mengambil tindakan terhadapnya.

    • Terapkan tindakan PUBLISH_FINDINGS_TO_SNS mitigasi jika Anda ingin menerapkan respons khusus sebagai respons terhadap pesan AmazonSNS.

    • Tinjau aktivitas pendaftaran sertifikat perangkat untuk waktu setelah sertifikat CA perantara dicabut dan pertimbangkan untuk mencabut sertifikat perangkat apa pun yang mungkin telah dikeluarkan bersamanya selama waktu ini. Anda dapat menggunakan ListRelatedResourcesForAuditFindinguntuk mencantumkan sertifikat perangkat yang ditandatangani oleh sertifikat CA dan UpdateCertificatemencabut sertifikat perangkat.

    • Lepaskan sertifikat lama dari perangkat. (Lihat DetachThingPrincipal.)

    Untuk informasi selengkapnya, lihat Tindakan mitigasi.