# 取り消されたデバイス証明書がアクティブのままです
<a name="audit-chk-revoked-device-cert"></a>

取り消されたデバイス証明書がアクティブのままです。

このチェックは、CLI および API で `REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK` として表示されます。

**重大度:** 中

## Details
<a name="audit-chk-revoked-device-cert-details"></a>

デバイス証明書は、CA の[ 証明書失効リスト](https://en.wikipedia.org/wiki/Certificate_revocation_list)に含まれていますが、AWS IoT ではまだアクティブなままです。

このチェック項目は、「ACTIVE」または「PENDING\$1TRANSFER」になっているデバイス証明書に適用されます。

このチェックにより不適合が見つかった場合、次の理由コードが返されます。
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## 重要な理由
<a name="audit-chk-revoked-device-cert-why-it-matters"></a>

デバイス証明書が取り消されるのは、通常侵害されたためです。エラーや見落としのため、AWS IoT でまだ取り消されていない可能性があります。

## 修正方法
<a name="audit-chk-revoked-device-cert-how-to-fix"></a>

デバイス証明書が侵害されていないことを確認します。侵害されている場合は、セキュリティのベストプラクティスに従って状況を軽減します。以下を行うことができます。

1. デバイスの新しい証明書をプロビジョニングします。

1. 新しい証明書が有効で、デバイスが接続するためにその証明書を使用できることを確認します。

1. [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) を使用して、AWS IoT で古い証明書を REVOKED としてマークします。緩和アクションを使用して、以下を行うこともできます。
   + 監査結果に `UPDATE_DEVICE_CERTIFICATE` 緩和アクションを適用して、この変更を行います。
   + `ADD_THINGS_TO_THING_GROUP` 緩和アクションを適用して、アクションを実行できるグループにデバイスを追加します。
   + Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、`PUBLISH_FINDINGS_TO_SNS` 緩和アクションを適用します。

   詳細については、「[緩和アクション](dd-mitigation-actions.md)」を参照してください。

1. 古い証明書をデバイスからデタッチします。(「[DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)」を参照してください)。