# 已撤銷的 CA 憑證仍然作用中。
<a name="audit-chk-revoked-ca-cert"></a>

憑證授權機構憑證已撤回，但在 AWS IoT 中仍處於作用中的狀態。

此檢查會以 `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK` 出現在 CLI 和 API 中。

嚴重性：**關鍵**

## 詳細資訊
<a name="audit-chk-revoked-ca-cert-details"></a>

​憑證授權機構憑證在發行機構維護的憑證撤回清單中標記為已撤銷，但在 AWS IoT 中仍標記為 ACTIVE 或 PENDING\_TRANSFER。

當此檢查發現不合規的憑證授權機構憑證時，將會傳回下列原因代碼：
+ CERTIFICATE\_REVOKED\_BY\_ISSUER

## 為什麼它很重要
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

已撤銷的憑證授權機構憑證不應再用來簽署裝置憑證。它可能因遭入侵而已經撤銷。新增的裝置內含使用此憑證授權機構憑證簽署的憑證可能會造成安全威脅。

## 如何修正它
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. 使用 [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html)，在 AWS IoT 中將憑證授權機構憑證標示為 INACTIVE。您也可以使用緩解行動：
   + 套用 `UPDATE_CA_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作，實作自訂回應以回應 Amazon SNS 訊息。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。

1. 檢閱憑證授權機構憑證遭撤回後的裝置憑證註冊活動，並考慮撤回任何可能在此時間內使用該憑證發行的裝置憑證。您可以使用 [ ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) 列出由 CA 簽署的裝置憑證，以及使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 撤銷裝置憑證。