アクティブなデバイス証明書の確認のための中間 CA が取り消されました - AWS IoT Device Defender
詳細重要な理由修正方法

アクティブなデバイス証明書の確認のための中間 CA が取り消されました

このチェックを使用して、中間 CA を取り消してもまだアクティブな関連デバイス証明書をすべて特定します。

このチェックは、CLI および API で INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK として表示されます。

重要度: 非常事態

詳細

このチェックにより不適合が見つかった場合、次の理由コードが返されます。

  • INTERMEDIATE_CA_REVOKED_BY_ISSUER

重要な理由

アクティブなデバイス証明書チェックのために取り消された中間 CA は、中間発行 CA が CA チェーンで取り消された AWS IoT Core にアクティブなデバイス証明書があるかどうかを判断することで、デバイスの ID と信頼性を評価します。

取り消し済み中間 CA を使用して、CA チェーン内の他の CA またはデバイス証明書に署名することはできません。中間 CA が取り消された後に、この CA 証明書を使用して署名された証明書を持つ新しく追加されたデバイスは、セキュリティ上の脅威をもたらします。

修正方法

CA 証明書を取り消した後のデバイス証明書の登録アクティビティを確認します。セキュリティのベストプラクティスに従って状況を軽減します。以下を行うことができます。

  1. 影響を受けるデバイス用に、別の CA によって署名された新しい証明書をプロビジョニングします。

  2. 新しい証明書が有効で、デバイスでそれらの証明書を使用して接続できることを確認します。

  3. UpdateCertificate を使用して、AWS IoT で古い証明書を REVOKED としてマークします。緩和アクションを使用して、以下を行うこともできます。

    • 監査結果に UPDATE_DEVICE_CERTIFICATE 緩和アクションを適用して、この変更を行います。

    • ADD_THINGS_TO_THING_GROUP 緩和アクションを適用して、アクションを実行できるグループにデバイスを追加します。

    • Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、PUBLISH_FINDINGS_TO_SNS 緩和アクションを適用します。

    • 中間 CA 証明書を取り消した後のデバイス証明書の登録アクティビティを確認し、その期間に発行された可能性のあるデバイス証明書の取り消しを検討します。この CA 証明書によって署名されたデバイス証明書を一覧表示するには ListRelatedResourcesForAuditFinding を使用できます。デバイス証明書を取り消すには UpdateCertificate を使用できます。

    • 古い証明書をデバイスからデタッチします。(「DetachThingPrincipal」を参照してください)。

    詳細については、「緩和アクション」を参照してください。