# Certificato CA revocato ancora attivo
<a name="audit-chk-revoked-ca-cert"></a>

Un certificato CA è stato revocato, ma è ancora attivo in AWS IoT.

Questo controllo viene visualizzato come `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK` nell’interfaccia a riga di comando e nell’API.

**Severità:** critica

## Informazioni
<a name="audit-chk-revoked-ca-cert-details"></a>

Un certificato CA è contrassegnato come revocato nell’elenco di revoche di certificati gestito dall’autorità emittente, ma è ancora contrassegnato come "ACTIVE" o "PENDING\$1TRANSFER" in AWS IoT.

Quando questo controllo trova un certificato CA non conforme, vengono restituiti i codici motivo seguenti:
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## Perché è importante
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

Un certificato CA revocato non deve più essere usato per firmare i certificati dei dispositivi. È possibile che sia stato revocato perché è compromesso. I nuovi dispositivi aggiunti con certificati firmati utilizzando questo certificato CA possono rappresentare una minaccia per la sicurezza. 

## Come risolvere il problema
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. Utilizza [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) per contrassegnare il certificato CA come INACTIVE in AWS IoT. Puoi anche usare le operazioni di mitigazione per:
   + Applicare l’operazione di mitigazione `UPDATE_CA_CERTIFICATE` sui risultati di audit per apportare questa modifica. 
   + Applica l’operazione di mitigazione `PUBLISH_FINDINGS_TO_SNS` per implementare una risposta personalizzata al messaggio di Amazon SNS. 

   Per ulteriori informazioni, consulta [Operazioni di mitigazione](dd-mitigation-actions.md).

1. Rivedi l’attività di registrazione del certificato del dispositivo nel periodo successivo alla revoca del certificato CA e prendi in considerazione la possibilità di revocare eventuali certificati del dispositivo che possono essere stati emessi durante tale periodo. Puoi utilizzare [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) per elencare i certificati del dispositivo firmati dal certificato CA e [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) per revocare un certificato del dispositivo.