Sertifikat CA yang dicabut masih aktif - AWSIoT Device Defender
DetailMengapa itu pentingBagaimana cara memperbaikinya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sertifikat CA yang dicabut masih aktif

Sertifikat CA telah dicabut, tetapi masih aktif di AWS IoT.

Pemeriksaan ini muncul seperti REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK pada CLI danAPI.

Tingkat keparahan: Kritis

Detail

Sertifikat CA ditandai sebagai dicabut dalam daftar pencabutan sertifikat yang dikelola oleh otoritas penerbit, tetapi masih ditandai sebagai ACTIVE atau _ in. PENDING TRANSFER AWS IoT

Alasan berikut kode dikembalikan ketika cek ini menemukan sertifikat CA yang tidak sesuai:

  • CERTIFICATE_ REVOKED _OLEH_ ISSUER

Mengapa itu penting

Sertifikat CA yang dicabut seharusnya tidak lagi digunakan untuk menandatangani sertifikat perangkat. Itu mungkin telah dicabut karena dikompromikan. Perangkat yang baru ditambahkan dengan sertifikat yang ditandatangani menggunakan sertifikat CA ini dapat menimbulkan ancaman keamanan.

Bagaimana cara memperbaikinya

  1. Gunakan U pdateCACertificate untuk menandai sertifikat CA seperti INACTIVE dalam AWS IoT. Anda juga dapat menggunakan tindakan mitigasi untuk:

    • Terapkan tindakan UPDATE_CA_CERTIFICATE mitigasi pada temuan audit Anda untuk membuat perubahan ini.

    • Terapkan tindakan PUBLISH_FINDINGS_TO_SNS mitigasi untuk menerapkan respons khusus sebagai respons terhadap pesan AmazonSNS.

    Untuk informasi selengkapnya, lihat Tindakan mitigasi.

  2. Tinjau aktivitas pendaftaran sertifikat perangkat untuk waktu setelah sertifikat CA dicabut dan pertimbangkan untuk mencabut sertifikat perangkat apa pun yang mungkin telah dikeluarkan bersamanya selama waktu ini. Anda dapat menggunakan ListCertificatesByCA untuk mencantumkan sertifikat perangkat yang ditandatangani oleh sertifikat CA dan UpdateCertificatemencabut sertifikat perangkat.