# Qualität der Zertifizierungsstellen–Zertifikatschlüssel
<a name="audit-chk-ca-cert-key-quality"></a>

AWS IoT-Kunden verlassen sich häufig auf die gegenseitige TLS-Authentifizierung mit X.509-Zertifikaten für die Authentifizierung beim AWS IoT-Nachrichtenbroker. Diese Zertifikate und ihre Zertifizierungsstellenzertifikate müssen im AWS IoT-Konto registriert werden, bevor sie verwendet werden. AWS IoT führt grundlegende Integritätsprüfungen für diese Zertifikate durch, wenn sie registriert sind, einschließlich:
+ Die Zertifikate haben ein gültiges Format.
+ Die Zertifikate befinden sich innerhalb ihrer Gültigkeitsdauer (mit anderen Worten, nicht abgelaufen).
+ Ihre kryptografischen Schlüssel weisen eine erforderliche Mindestgröße auf (RSA-Schlüssel müssen mindestens 2048 Bit groß sein).

Diese Audit-Prüfung bietet die folgenden zusätzlichen Tests zur Qualität Ihres kryptografischen Schlüssels:
+ CVE-2008-0166: Überprüft, ob der Schlüssel mit OpenSSL 0.9.8c-1 bis zu Versionen vor 0.9.8g-9 auf einem Debian-basierten Betriebssystem generiert wurde. Diese Versionen von OpenSSL verwenden einen Zufallszahlengenerator, der vorhersehbare Zahlen generiert. So wird es Angreifern erleichtert, Brute-Force-Rate-Angriffe gegen kryptografische Schlüssel durchzuführen.
+ CVE-2017-15361: Überprüft, ob der Schlüssel von der Infineon RSA-Bibliothek 1.02.013 in der Infineon Trusted Platform Module-Firmware (TPM) generiert wurde, z. B. Versionen vor 0000000000000422 – 4.34, vor 000000000000062b – 6.43 und vor 0000000000008521 – 133.33. Diese Bibliothek handhabt die Generierung von RSA-Schlüsseln falsch, was es Angreifern erleichtert, einige kryptographische Schutzmechanismen durch gezielte Angriffe zu umgehen. Beispiele für betroffene Technologien sind BitLocker mit TPM 1.2, YubiKey 4 (vor 4.3.5) PGP-Schlüsselgenerierung und die Verschlüsselungsfunktion für zwischengespeicherte Benutzerdaten in Chrome OS.

AWS IoT Device Defender meldet Zertifikate als nicht konform, wenn sie diese Tests nicht bestehen.

Diese Prüfung wird wie `CA_CERTIFICATE_KEY_QUALITY_CHECK` in der CLI und API angezeigt.

**Schweregrad:** Kritisch

## Details
<a name="audit-chk-ca-cert-key-quality-details"></a>

Diese Prüfung gilt für Zertifizierungsstellen-Zertifikate mit dem Status ACTIVE oder PENDING\$1TRANSFER.

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung ein nicht-konformes Zertifikat findet:
+ CERTIFICATE\$1KEY\$1VULNERABILITY\$1CVE-2017-15361
+ CERTIFICATE\$1KEY\$1VULNERABILITY\$1CVE-2008-0166

## Warum dies wichtig ist
<a name="audit-chk-ca-cert-key-quality-why-it-matters"></a>

Neu hinzugefügte Geräte, die mit diesem CA-Zertifikat signiert wurden, stellen möglicherweise ein Sicherheitsrisiko dar.

## So lässt es sich beheben
<a name="audit-chk-ca-cert-key-quality-how-to-fix"></a>

1. Verwenden Sie [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) zum Kennzeichnen des CA-Zertifikats als INACTIVE in AWS IoT. Sie können Abhilfemaßnahmen auch für Folgendes verwenden:
   + Wenden Sie die Abhilfemaßnahme `UPDATE_CA_CERTIFICATE` auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen. 
   + Wenden Sie die Abhilfemaßnahme `PUBLISH_FINDINGS_TO_SNS` an, wenn Sie eine benutzerdefinierte Antwort als Antwort auf die Amazon SNS-Nachricht implementieren möchten. 

   Weitere Informationen finden Sie unter [Abschwächungsaktionen](dd-mitigation-actions.md).

1. Überprüfen Sie die Gerätezertifikat-Registrierungsaktivität für die Zeit nach dem Widerruf des CA-Zertifikats und ziehen Sie in Betracht, alle Gerätezertifikate, die während dieser Zeit ausgestellt wurden, zu widerrufen. (Verwenden Sie [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) zum Auflisten der mit dem CA-Zertifikat signierten Gerätezertifikate und [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) zum Sperren eines Gerätezertifikats.)