# 취소된 CA 인증서가 계속 활성 상태
<a name="audit-chk-revoked-ca-cert"></a>

CA 인증서가 취소되었지만 AWS IoT에서 계속 활성 상태입니다.

이 점검은 CLI 및 API에서 `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK`와(과) 같이 나타납니다.

**심각도:** 심각

## 세부 사항
<a name="audit-chk-revoked-ca-cert-details"></a>

CA 인증서가 발급 기관이 관리하는 인증서 취소 목록에 취소됨으로 표시되지만 AWS IoT에는 여전히 ACTIVE 또는 PENDING\$1TRANSFER로 표시됩니다.

이 점검에서 규정 미준수 CA 인증서가 발견된 경우 다음 사유 코드가 반환됩니다.
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## 이것이 중요한 이유
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

취소된 CA 인증서는 더 이상 디바이스 인증서에 서명하는 데 사용해서는 안 됩니다. 손상되었기 때문에 해당 인증서가 취소되었을 수 있습니다. 새로 추가된 디바이스에 이 CA 인증서를 사용하여 서명된 인증서가 있는 경우에는 보안 위협이 발생할 수 있습니다.

## 수정 방법
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html)를 사용하여 AWS IoT에서 CA 인증서를 비활성(INACTIVE) 상태로 표시합니다. 완화 작업을 사용하면 다음을 수행할 수 있습니다.
   + 이 변경사항을 실행하려면 감사 결과에서 `UPDATE_CA_CERTIFICATE` 완화 작업을 적용합니다.
   + Amazon SNS 메시지에 대해 사용자 지정 응답을 구현하려면 `PUBLISH_FINDINGS_TO_SNS` 완화 작업을 적용합니다.

   자세한 내용은 [완화 작업](dd-mitigation-actions.md) 단원을 참조하세요.

1. CA 인증서가 취소된 후 일정 기간에 대해 디바이스 인증서 등록 활동을 검토하여 해당 기간 동안 이 인증서를 사용하여 발급되었을 수 있는 디바이스 인증서를 취소할 것을 고려합니다. [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html)를 사용하여 CA 인증서로 서명된 디바이스 인증서를 나열하고 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)를 사용하여 디바이스 인증서를 취소합니다.