# 取り消された CA 証明書がアクティブのままです
<a name="audit-chk-revoked-ca-cert"></a>

CA 証明書が取り消されましたが、AWS IoT では有効のままです。

このチェックは、CLI および API で `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK` として表示されます。

**重要度:** 非常事態

## Details
<a name="audit-chk-revoked-ca-cert-details"></a>

CA 証明書は、発行機関によって維持されている証明書失効リストで失効済みとマークされていますが、AWS IoT ではまだ「ACTIVE」または「PENDING\$1TRANSFER」とマークされたままです。

このチェックにより不適合の CA 証明書が見つかった場合、次の理由コードが返されます。
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## 重要な理由
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

取り消し済み CA 証明書は、デバイス証明書への署名に使用できなくなります。侵害されたため、取り消された可能性があります。この CA 証明書で署名された証明書を使用して新しく追加されたデバイスはセキュリティ上の脅威になる場合があります。

## 修正方法
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) を使用して、AWS IoT で CA 証明書を INACTIVE としてマークします。緩和アクションを使用して、以下を行うこともできます。
   + 監査結果に `UPDATE_CA_CERTIFICATE` 緩和アクションを適用して、この変更を行います。
   + Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、`PUBLISH_FINDINGS_TO_SNS` 緩和アクションを適用します。

   詳細については、「[緩和アクション](dd-mitigation-actions.md)」を参照してください。

1. CA 証明書を取り消した後のデバイス証明書の登録アクティビティを確認し、その期間に発行された可能性のあるデバイス証明書の取り消しを検討します。この CA 証明書によって署名されたデバイス証明書を一覧表示するには [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) を使用できます。デバイス証明書を取り消すには [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) を使用できます。