Certificado da CA revogado ainda ativo - AWS IoT Device Defender

Certificado da CA revogado ainda ativo

Um certificado da CA foi revogado, mas ainda está ativo na AWS IoT.

Essa verificação aparece como REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK na CLI e na API.

Gravidade: Crítica

Detalhes

Um certificado da CA está marcado como revogado na lista de revogação de certificados mantida pela autoridade emissora, mas ainda está marcado como ACTIVE ou PENDING_TRANSFER na AWS IoT.

Os códigos de motivo a seguir são retornados quando essa verificação encontra um certificado da CA não compatível:

  • CERTIFICATE_REVOKED_BY_ISSUER

Por que isso importa?

Um certificado da CA não deve mais ser usado para assinar certificados de dispositivo. Ele pode ter sido revogado porque foi comprometido. Dispositivos recém-adicionados com certificados assinados usando esse certificado da CA podem representar uma ameaça à segurança.

Como corrigir

  1. Use UpdateCACertificate para marcar o certificado da CA como INACTIVE no AWS IoT. Você também pode usar ações de mitigação para:

    • Aplicar a ação de mitigação UPDATE_CA_CERTIFICATE em suas descobertas de auditoria para fazer essa mudança.

    • Aplicar a ação de mitigação PUBLISH_FINDINGS_TO_SNS para implementar uma resposta personalizada em resposta à mensagem do Amazon SNS.

    Para ter mais informações, consulte Ações de mitigação.

  2. Revise as atividades de registro de certificado de dispositivo pelo período após o qual o certificado da CA foi revogado e considere a possibilidade de revogar todos os certificados de dispositivos que podem ter sido emitidos com ele durante esse período. Você pode usar ListCertificatesByCA para listar os certificados de dispositivo assinados pelo certificado da CA e UpdateCertificate para revogar um certificado de dispositivo.