# CA intermediária revogada para verificação de certificados de dispositivos ativos
<a name="audit-chk-active-intermediary-device-revoked-CA"></a>

Use essa verificação para identificar todos os certificados de dispositivos relacionados que ainda estão ativos, apesar da revogação de uma CA intermediária.

Essa verificação aparece como `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` na CLI e na API.

**Gravidade:** crítica

## Detalhes
<a name="audit-chk-active-device-intermediary-revoked-CA-details"></a>

Os códigos de motivo a seguir são retornados quando essa verificação encontra não compatibilidade:
+ INTERMEDIATE\$1CA\$1REVOKED\$1BY\$1ISSUER

## Por que isso importa?
<a name="audit-chk-active-device-intermediary-revoked-CA-why-it-matters"></a>

A CA intermediária revogada para certificados de dispositivos ativos avalia a identidade e a confiança do dispositivo, determinando se há certificados de dispositivo ativos no AWS IoT Core em que as CAs emissoras intermediárias foram revogadas na cadeia de CAs.

Uma CA intermediária revogada não deve mais ser usada para assinar nenhuma outra CA ou certificado de dispositivo na cadeia de CAs. Dispositivos recém-adicionados com certificados assinados usando esse certificado de CA depois que a CA intermediária for revogada representarão uma ameaça à segurança.

## Como corrigir
<a name="audit-chk-active-device-intermediary-revoked-CA-how-to-fix"></a>

Reveja a atividade de registro de certificados do dispositivo para o período após a revogação do certificado da CA. Siga as práticas recomendadas de segurança para atenuar a situação. Talvez você queira:

1. Provisionar novos certificados assinados por uma CA diferente para os dispositivos afetados.

1. Verificar se os novos certificados são válidos e se os dispositivos podem usá-los para se conectar.

1. Use [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) para marcar o certificado antigo como REVOKED no AWS IoT. Você também pode usar ações de mitigação para:
   + Aplicar a ação de mitigação `UPDATE_DEVICE_CERTIFICATE` em suas descobertas de auditoria para fazer essa mudança. 
   + Aplicar a ação de mitigação `ADD_THINGS_TO_THING_GROUP` para adicionar o dispositivo a um grupo, onde é possível executar uma ação sobre ele.
   + Aplicar a ação de mitigação `PUBLISH_FINDINGS_TO_SNS` se você desejar implementar uma resposta personalizada em resposta à mensagem do Amazon SNS. 
   + Verificar as atividades de registro de certificado de dispositivo pelo período após o qual o certificado da CA intermediário foi revogado e considerar a possibilidade de revogar todos os certificados de dispositivos que podem ter sido emitidos com ele durante esse período. Você pode usar [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) para listar os certificados de dispositivos assinados pelo certificado da CA e [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) para revogar um certificado de dispositivo.
   + Desanexe o antigo certificado do dispositivo. (Consulte [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)

   Para obter mais informações, consulte [Ações de mitigação](dd-mitigation-actions.md).