# Le certificat CA révoqué est toujours actif
<a name="audit-chk-revoked-ca-cert"></a>

Un certificat CA a été révoqué, mais demeure actif dans AWS IoT.

Cette vérification apparaît comme `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK` dans la CLI et l’API.

**Gravité :** Critique

## Détails
<a name="audit-chk-revoked-ca-cert-details"></a>

Un certificat CA est marqué comme étant révoqué dans la liste de révocation des certificats gérée par l’autorité d’émission mais est encore marqué comme étant ACTIVE (ACTIF) ou PENDING TRANSFER (EN ATTENTE DE TRANSFERT) dans AWS IoT.

Voici les codes de motif renvoyés lorsque ce contrôle trouve un certificat CA non conforme :
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## Pourquoi est-ce important ?
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

Un certificat CA révoqué ne doit plus être utilisé pour signer des certificats d’appareil. Il peut avoir été révoqué car compromis. Les appareils nouvellement ajoutés avec des certificats signés à l’aide de ce certificat CA peuvent constituer une menace à la sécurité. 

## Comment réparer
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. Utilisez [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) pour marquer le certificat CA comme INACTIVE (INACTIF) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :
   + Appliquer l’action d’atténuation `UPDATE_CA_CERTIFICATE` sur vos résultats d’audit pour effectuer ce changement. 
   + Appliquez l’action d’atténuation `PUBLISH_FINDINGS_TO_SNS` si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS. 

   Pour de plus amples informations, consultez [Actions d'atténuation](dd-mitigation-actions.md).

1. Vérifiez l’activité d’enregistrement de certificat d’appareil pendant la période après laquelle le certificat de CA a été révoqué et envisagez de révoquer les certificats d’appareil qui ont pu être émis pendant cette période. Utilisez [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) pour répertorier les certificats d’appareil signés par le certificat CA et [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) pour révoquer un certificat d’appareil.