已吊销中间 CA 以进行活动设备证书检查 - AWS IoT Device Defender

已吊销中间 CA 以进行活动设备证书检查

使用此检查来识别尽管撤消了中间 CA,但仍处于活动状态的所有相关设备证书。

此检查在 CLI 和 API 中显示为 INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK

严重性:危急

详细信息

此检查发现不合规问题时,会返回以下原因代码:

  • INTERMEDIATE_CA_REVOKED_BY_ISSUER

为什么这非常重要

已吊销中间 CA 以进行活动设备证书检查通过确定 CA 链中已吊销中间颁发 CA 的 AWS IoT Core 中是否存在活动设备证书来评估设备身份和信任度。

不应再使用已吊销的中间 CA 来签署 CA 链中的任何其他 CA 或设备证书。在吊销中间 CA 后,具有使用此 CA 证书签名的证书的新添加设备将构成安全威胁。

如何修复

查看 CA 证书被吊销后一段时间的设备证书注册活动。按照您的安全最佳做法来缓解这种情况。您可能需要:

  1. 为受影响的设备配置由其他 CA 签名的新证书。

  2. 验证新证书是否有效,以及设备能否使用新证书进行连接。

  3. 使用 UpdateCertificate 在 AWS IoT 中将旧证书标记为“REVOKED”。您还可以使用缓解操作实现以下目的:

    • 对您的审计查找结果应用 UPDATE_DEVICE_CERTIFICATE 缓解操作以进行此更改。

    • 应用 ADD_THINGS_TO_THING_GROUP 缓解操作,以将设备添加到可以对其执行操作的组。

    • 如果要实现自定义响应以响应 Amazon SNS 消息,请应用 PUBLISH_FINDINGS_TO_SNS 缓解操作。

    • 对吊销中间 CA 证书后的设备证书注册活动进行审核,并考虑吊销在此期间可能使用它颁发的任何设备证书。可以使用 ListRelatedResourcesForAuditFinding 列出通过该 CA 证书签发的设备证书,并使用 UpdateCertificate 吊销设备证书。

    • 将旧证书从设备分离。(请参阅 DetachThingPrincipal。)

    有关更多信息,请参阅 缓解操作