# Certificado revogado do dispositivo ainda ativo
<a name="audit-chk-revoked-device-cert"></a>

Um certificado revogado do dispositivo ainda está ativo.

Essa verificação aparece como `REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK` na CLI e na API.

**Gravidade:** média

## Detalhes
<a name="audit-chk-revoked-device-cert-details"></a>

Um certificado de dispositivo está na [ lista de revogação de certificados](https://en.wikipedia.org/wiki/Certificate_revocation_list), mas ainda está ativo na AWS IoT.

Essa verificação se aplica a certificados de dispositivo que estão ACTIVE ou PENDING\$1TRANSFER.

Os códigos de motivo a seguir são retornados quando essa verificação encontra não compatibilidade:
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## Por que isso importa?
<a name="audit-chk-revoked-device-cert-why-it-matters"></a>

Um dispositivo de certificado, em geral, é revogado porque foi comprometido. É possível que ele ainda não tenha sido revogado na AWS IoT devido a um erro ou uma supervisão.

## Como corrigir
<a name="audit-chk-revoked-device-cert-how-to-fix"></a>

Verifique se o certificado de dispositivo não foi comprometido. Se foi, siga as práticas recomendadas de segurança para atenuar a situação. Talvez você queira:

1. Provisione um novo certificado para o dispositivo.

1. Verifique se o novo certificado é válido e se o dispositivo pode usá-lo para se conectar.

1. Use [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) para marcar o certificado antigo como REVOKED no AWS IoT. Você também pode usar ações de mitigação para:
   + Aplicar a ação de mitigação `UPDATE_DEVICE_CERTIFICATE` em suas descobertas de auditoria para fazer essa mudança. 
   + Aplicar a ação de mitigação `ADD_THINGS_TO_THING_GROUP` para adicionar o dispositivo a um grupo, onde é possível executar uma ação sobre ele.
   + Aplicar a ação de mitigação `PUBLISH_FINDINGS_TO_SNS` se você desejar implementar uma resposta personalizada em resposta à mensagem do Amazon SNS. 

   Para obter mais informações, consulte [Ações de mitigação](dd-mitigation-actions.md). 

1. Desanexe o antigo certificado do dispositivo. (Consulte [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)