# L’autorité de certification intermédiaire a été révoquée pour vérification des certificats d’appareils actifs
Utilisez cette vérification pour identifier tous les certificats d’appareil associés qui sont toujours actifs malgré la révocation d’une autorité de certification intermédiaire.
Cette vérification apparaît comme `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` dans la CLI et l’API.
**Gravité :** Critique
## Détails
Les codes de motif sont renvoyés lorsque ce contrôle trouve une non-conformité :
+ INTERMEDIATE\$1CA\$1REVOKED\$1BY\$1ISSUER
## Pourquoi est-ce important ?
L’autorité de certification intermédiaire a été révoquée pour les certificats d’appareils actifs évalue l’identité et la confiance de l’appareil, en déterminant s’il existe des certificats d’appareil actifs AWS IoT Core dans lesquels les autorités de certification émettrices intermédiaires ont été révoquées dans la chaîne d’autorités de certification.
Une autorité de certification intermédiaire révoquée ne doit plus être utilisée pour signer une autre autorité de certification ou un autre certificat d’appareil dans la chaîne d’autorités de certification. Les appareils nouvellement ajoutés avec des certificats signés à l’aide de ce certificat d’autorité de certification après la révocation de l’autorité de certification intermédiaire constitueront une menace pour la sécurité.
## Comment réparer
Vérifiez l’activité d’enregistrement du certificat de l’appareil pendant la période qui a suivi la révocation du certificat CA. Suivez les bonnes pratiques en matière de sécurité pour traiter cette situation. Il se peut que vous souhaitiez :
1. Fournissez de nouveaux certificats, signés par une autre autorité de certification, pour les appareils concernés.
1. Vérifier que les nouveaux certificats sont valides et que les appareils peuvent les utiliser pour se connecter.
1. Utiliser [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) pour marquer l’ancien certificat comme REVOKED (RÉVOQUÉ) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :
+ Appliquer l’action d’atténuation `UPDATE_DEVICE_CERTIFICATE` sur vos résultats d’audit pour effectuer ce changement.
+ Appliquer l’action d’atténuation `ADD_THINGS_TO_THING_GROUP` pour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard.
+ Appliquer l’action d’atténuation `PUBLISH_FINDINGS_TO_SNS` si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.
+ Vérifiez l’activité d’enregistrement de certificat d’appareil pendant la période après laquelle le certificat intermédiaire de CA a été révoqué et envisagez de révoquer les certificats d’appareil qui ont pu être émis pendant cette période. Utilisez [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) pour répertorier les certificats d’appareil signés par le certificat CA et [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) pour révoquer un certificat d’appareil.
+ Détacher l’ancien certificat de l’appareil. (Voir [ DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)
Pour de plus amples informations, consultez [Actions d'atténuation](dd-mitigation-actions.md).