# Certificado da CA revogado ainda ativo
<a name="audit-chk-revoked-ca-cert"></a>

Um certificado da CA foi revogado, mas ainda está ativo na AWS IoT.

Essa verificação aparece como `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK` na CLI e na API.

**Gravidade:** crítica

## Detalhes
<a name="audit-chk-revoked-ca-cert-details"></a>

Um certificado da CA está marcado como revogado na lista de revogação de certificados mantida pela autoridade emissora, mas ainda está marcado como ACTIVE ou PENDING\_TRANSFER na AWS IoT.

Os códigos de motivo a seguir são retornados quando essa verificação encontra um certificado da CA não compatível:
+ CERTIFICATE\_REVOKED\_BY\_ISSUER

## Por que isso importa?
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

Um certificado da CA não deve mais ser usado para assinar certificados de dispositivo. Ele pode ter sido revogado porque foi comprometido. Dispositivos recém-adicionados com certificados assinados usando esse certificado da CA podem representar uma ameaça à segurança. 

## Como corrigir
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. Use [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) para marcar o certificado da CA como INACTIVE no AWS IoT. Você também pode usar ações de mitigação para:
   + Aplicar a ação de mitigação `UPDATE_CA_CERTIFICATE` em suas descobertas de auditoria para fazer essa mudança. 
   + Aplicar a ação de mitigação `PUBLISH_FINDINGS_TO_SNS` para implementar uma resposta personalizada em resposta à mensagem do Amazon SNS. 

   Para obter mais informações, consulte [Ações de mitigação](dd-mitigation-actions.md).

1. Revise as atividades de registro de certificado de dispositivo pelo período após o qual o certificado da CA foi revogado e considere a possibilidade de revogar todos os certificados de dispositivos que podem ter sido emitidos com ele durante esse período. Você pode usar [ ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) para listar os certificados de dispositivo assinados pelo certificado da CA e [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) para revogar um certificado de dispositivo.