Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# CA menengah dicabut untuk pemeriksaan sertifikat perangkat aktif
<a name="audit-chk-active-intermediary-device-revoked-CA"></a>

Gunakan pemeriksaan ini untuk mengidentifikasi semua sertifikat perangkat terkait yang masih aktif meskipun telah mencabut CA perantara.

Pemeriksaan ini muncul seperti `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` pada CLI dan API.

Tingkat keparahan: **Kritis**

## Detail
<a name="audit-chk-active-device-intermediary-revoked-CA-details"></a>

Kode alasan berikut dikembalikan saat pemeriksaan ini menemukan ketidakpatuhan:
+ INTERMEDIATE\_CA\_REVOKED\_BY\_ISSUER

## Mengapa itu penting
<a name="audit-chk-active-device-intermediary-revoked-CA-why-it-matters"></a>

CA perantara yang dicabut untuk pemeriksaan sertifikat perangkat aktif menilai identitas dan kepercayaan perangkat, dengan menentukan apakah ada sertifikat perangkat aktif di AWS IoT Core mana penerbitan perantara CAs telah dicabut dalam rantai CA.

CA perantara yang dicabut seharusnya tidak lagi digunakan untuk menandatangani CA atau sertifikat perangkat lain dalam rantai CA. Perangkat yang baru ditambahkan dengan sertifikat yang ditandatangani menggunakan sertifikat CA ini setelah CA perantara dicabut akan menimbulkan ancaman keamanan.

## Bagaimana cara memperbaikinya
<a name="audit-chk-active-device-intermediary-revoked-CA-how-to-fix"></a>

Tinjau aktivitas pendaftaran sertifikat perangkat untuk waktu setelah sertifikat CA dicabut. Ikuti praktik terbaik keamanan Anda untuk mengurangi situasi. Anda mungkin ingin:

1. Menyediakan sertifikat baru, yang ditandatangani oleh CA yang berbeda, untuk perangkat yang terpengaruh.

1. Verifikasi bahwa sertifikat baru valid, dan perangkat dapat menggunakannya untuk terhubung.

1. Gunakan [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)untuk menandai sertifikat lama sebagai REVOKED in AWS IoT. Anda juga dapat menggunakan tindakan mitigasi untuk:
   + Terapkan tindakan `UPDATE_DEVICE_CERTIFICATE` mitigasi pada temuan audit Anda untuk membuat perubahan ini. 
   + Terapkan tindakan `ADD_THINGS_TO_THING_GROUP` mitigasi untuk menambahkan perangkat ke grup tempat Anda dapat mengambil tindakan terhadapnya.
   + Terapkan tindakan `PUBLISH_FINDINGS_TO_SNS` mitigasi jika Anda ingin menerapkan respons khusus sebagai respons terhadap pesan Amazon SNS. 
   + Tinjau aktivitas pendaftaran sertifikat perangkat untuk waktu setelah sertifikat CA perantara dicabut dan pertimbangkan untuk mencabut sertifikat perangkat apa pun yang mungkin telah dikeluarkan bersamanya selama waktu ini. Anda dapat menggunakan [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html)untuk mencantumkan sertifikat perangkat yang ditandatangani oleh sertifikat CA dan [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)mencabut sertifikat perangkat.
   + Lepaskan sertifikat lama dari perangkat. (Lihat [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)).

   Untuk informasi selengkapnya, lihat [Tindakan mitigasi](dd-mitigation-actions.md).