L'autorité de certification intermédiaire a été révoquée pour vérification des certificats d'appareils actifs - AWS IoT Device Defender
DétailsPourquoi est-ce important ?Comment réparer

L'autorité de certification intermédiaire a été révoquée pour vérification des certificats d'appareils actifs

Utilisez cette vérification pour identifier tous les certificats d’appareil associés qui sont toujours actifs malgré la révocation d'une autorité de certification intermédiaire.

Cette vérification apparaît comme INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK dans la CLI et l'API.

Gravité : critique

Détails

Les codes de motif sont renvoyés lorsque ce contrôle trouve une non-conformité :

  • INTERMEDIATE_CA_REVOKED_BY_ISSUER

Pourquoi est-ce important ?

L'autorité de certification intermédiaire a été révoquée pour les certificats d'appareils actifs évalue l'identité et la confiance de l'appareil, en déterminant s'il existe des certificats d'appareil actifs AWS IoT Core dans lesquels les autorités de certification émettrices intermédiaires ont été révoquées dans la chaîne d'autorités de certification.

Une autorité de certification intermédiaire révoquée ne doit plus être utilisée pour signer une autre autorité de certification ou un autre certificat d'appareil dans la chaîne d'autorités de certification. Les appareils nouvellement ajoutés avec des certificats signés à l'aide de ce certificat d'autorité de certification après la révocation de l'autorité de certification intermédiaire constitueront une menace pour la sécurité.

Comment réparer

Vérifiez l'activité d'enregistrement du certificat de l'appareil pendant la période qui a suivi la révocation du certificat CA. Suivez les bonnes pratiques en matière de sécurité pour traiter cette situation. Il se peut que vous souhaitiez :

  1. Fournissez de nouveaux certificats, signés par une autre autorité de certification, pour les appareils concernés.

  2. Vérifier que les nouveaux certificats sont valides et que les appareils peuvent les utiliser pour se connecter.

  3. Utiliser UpdateCertificate pour marquer l’ancien certificat comme REVOKED (RÉVOQUÉ) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :

    • Appliquer l’action d’atténuation UPDATE_DEVICE_CERTIFICATE sur vos résultats d’audit pour effectuer ce changement.

    • Appliquer l’action d’atténuation ADD_THINGS_TO_THING_GROUP pour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard.

    • Appliquer l'action d’atténuation PUBLISH_FINDINGS_TO_SNS si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.

    • Vérifiez l'activité d'enregistrement de certificat d'appareil pendant la période après laquelle le certificat intermédiaire de CA a été révoqué et envisagez de révoquer les certificats d'appareil qui ont pu être émis pendant cette période. Utilisez ListRelatedResourcesForAuditFinding pour répertorier les certificats d'appareil signés par le certificat CA et UpdateCertificate pour révoquer un certificat d'appareil.

    • Détacher l’ancien certificat de l’appareil. (Voir DetachThingPrincipal.)

    Pour en savoir plus, consultez Actions d'atténuation.