# Un certificat d’appareil révoqué est toujours actif.
<a name="audit-chk-revoked-device-cert"></a>

Un certificat d’appareil révoqué est toujours actif.

Cette vérification apparaît comme `REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK` dans la CLI et l’API.

**Gravité :** Moyenne

## Détails
<a name="audit-chk-revoked-device-cert-details"></a>

Un certificat d’appareil figure dans la [liste de révocation des certificats](https://en.wikipedia.org/wiki/Certificate_revocation_list) de sa CA, mais est encore actif dans AWS IoT.

Ce contrôle s’applique aux certificats d’appareil qui sont ACTIVE ou PENDING\$1TRANSFER.

Les codes de motif sont renvoyés lorsque ce contrôle trouve une non-conformité :
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## Pourquoi est-ce important ?
<a name="audit-chk-revoked-device-cert-why-it-matters"></a>

Un certificat d’appareil est généralement révoqué s’il a été compromis. Il est possible qu’il n’ait pas encore été révoqué dans AWS IoT en raison d’une erreur ou d’une omission.

## Comment réparer
<a name="audit-chk-revoked-device-cert-how-to-fix"></a>

Vérifiez que le certificat d’appareil n’a pas été compromis. S’il l’a été, suivez les bonnes pratiques en matière de sécurité pour traiter cette situation. Il se peut que vous souhaitiez :

1. Allouer un nouveau certificat pour l’appareil.

1. Vérifier que le nouveau certificat est valide et que l’appareil peut l’utiliser pour se connecter.

1. Utiliser [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) pour marquer l’ancien certificat comme REVOKED (RÉVOQUÉ) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :
   + Appliquer l’action d’atténuation `UPDATE_DEVICE_CERTIFICATE` sur vos résultats d’audit pour effectuer ce changement. 
   + Appliquer l’action d’atténuation `ADD_THINGS_TO_THING_GROUP` pour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard.
   + Appliquer l’action d’atténuation `PUBLISH_FINDINGS_TO_SNS` si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS. 

   Pour de plus amples informations, consultez [Actions d'atténuation](dd-mitigation-actions.md). 

1. Détacher l’ancien certificat de l’appareil. (Voir [ DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)