# アクティブなデバイス証明書の確認のための中間 CA が取り消されました
このチェックを使用して、中間 CA を取り消してもまだアクティブな関連デバイス証明書をすべて特定します。
このチェックは、CLI および API で `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` として表示されます。
**重要度:** 非常事態
## 詳細
このチェックにより不適合が見つかった場合、次の理由コードが返されます。
+ INTERMEDIATE\_CA\_REVOKED\_BY\_ISSUER
## 重要な理由
アクティブなデバイス証明書チェックのために取り消された中間 CA は、中間発行 CA が CA チェーンで取り消された AWS IoT Core にアクティブなデバイス証明書があるかどうかを判断することで、デバイスの ID と信頼性を評価します。
取り消し済み中間 CA を使用して、CA チェーン内の他の CA またはデバイス証明書に署名することはできません。中間 CA が取り消された後に、この CA 証明書を使用して署名された証明書を持つ新しく追加されたデバイスは、セキュリティ上の脅威をもたらします。
## 修正方法
CA 証明書を取り消した後のデバイス証明書の登録アクティビティを確認します。セキュリティのベストプラクティスに従って状況を軽減します。以下を行うことができます。
1. 影響を受けるデバイス用に、別の CA によって署名された新しい証明書をプロビジョニングします。
1. 新しい証明書が有効で、デバイスでそれらの証明書を使用して接続できることを確認します。
1. [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) を使用して、AWS IoT で古い証明書を REVOKED としてマークします。緩和アクションを使用して、以下を行うこともできます。
+ 監査結果に `UPDATE_DEVICE_CERTIFICATE` 緩和アクションを適用して、この変更を行います。
+ `ADD_THINGS_TO_THING_GROUP` 緩和アクションを適用して、アクションを実行できるグループにデバイスを追加します。
+ Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、`PUBLISH_FINDINGS_TO_SNS` 緩和アクションを適用します。
+ 中間 CA 証明書を取り消した後のデバイス証明書の登録アクティビティを確認し、その期間に発行された可能性のあるデバイス証明書の取り消しを検討します。この CA 証明書によって署名されたデバイス証明書を一覧表示するには [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) を使用できます。デバイス証明書を取り消すには [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) を使用できます。
+ 古い証明書をデバイスからデタッチします。(「[DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)」を参照してください)。
詳細については、「[緩和アクション](dd-mitigation-actions.md)」を参照してください。