# CA intermedia revocata per il controllo attivo dei certificati del dispositivo
<a name="audit-chk-active-intermediary-device-revoked-CA"></a>

Utilizzare questo controllo per identificare tutti i certificati dei dispositivi correlati che sono ancora attivi nonostante la revoca di una CA intermedia.

Questo controllo viene visualizzato come `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` nell’interfaccia a riga di comando e nell’API.

**Severità:** critica

## Informazioni
<a name="audit-chk-active-device-intermediary-revoked-CA-details"></a>

Quando questo controllo trova una condizione di non conformità, vengono restituiti i codici motivo seguenti:
+ INTERMEDIATE\_CA\_REVOKED\_BY\_ISSUER

## Perché è importante
<a name="audit-chk-active-device-intermediary-revoked-CA-why-it-matters"></a>

La CA intermedia revocata per il controllo dei certificati dei dispositivi attivi valuta l’identità e l’attendibilità del dispositivo, determinando se ci sono certificati dei dispositivi attivi in AWS IoT Core in cui le CA emittenti intermedie sono state revocate nella catena CA.

Una CA intermedia revocata non deve più essere utilizzata per firmare qualsiasi altra CA o certificati dei dispositivi nella catena CA. I nuovi dispositivi aggiunti con certificati firmati utilizzando questo certificato CA dopo che la CA intermedia viene revocata rappresenteranno una minaccia per la sicurezza.

## Come risolvere il problema
<a name="audit-chk-active-device-intermediary-revoked-CA-how-to-fix"></a>

Esamina l’attività di registrazione del certificato del dispositivo nel periodo successivo alla revoca del certificato CA. Seguire le best practice di sicurezza per mitigare la situazione. È possibile:

1. Eseguire il provisioning di nuovi certificati, firmati da una CA diversa, per i dispositivi interessati.

1. Verificare che i nuovi certificati siano validi e che possano essere utilizzati dai dispositivi per connettersi.

1. Utilizzare [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) per contrassegnare il certificato precedente come REVOKED in AWS IoT. Puoi anche usare le operazioni di mitigazione per:
   + Applicare l’operazione di mitigazione `UPDATE_DEVICE_CERTIFICATE` sui risultati di audit per apportare questa modifica. 
   + Applicare l’operazione di mitigazione `ADD_THINGS_TO_THING_GROUP` per aggiungere il dispositivo a un gruppo nel quale puoi agire su di esso.
   + Applica l’operazione di mitigazione `PUBLISH_FINDINGS_TO_SNS` per implementare una risposta personalizzata al messaggio di Amazon SNS. 
   + Rivedere l’attività di registrazione del certificato del dispositivo nel periodo successivo alla revoca del certificato CA intermedio e prendere in considerazione la possibilità di revocare eventuali certificati del dispositivo che possono essere stati emessi durante tale periodo. È possibile utilizzare [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) per elencare i certificati dei dispositivi firmati dal certificato CA e [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) per revocare un certificato del dispositivo.
   + Scollegare il vecchio certificato dal dispositivo. (Consultare [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)).

   Per ulteriori informazioni, consulta [Operazioni di mitigazione](dd-mitigation-actions.md).