# 憑證授權機構憑證金鑰品質
<a name="audit-chk-ca-cert-key-quality"></a>

AWS IoT 客戶通常會依賴使用 X.509 憑證的 TLS 交互身分驗證來對 AWS IoT 訊息代理程式進行驗證。這些憑證及其憑證授權單位憑證必須在其 AWS IoT 帳戶中註冊，然後才能使用它們。在註冊這些憑證時，AWS IoT 會對這些憑證執行基本的例行性檢查，包括：
+ 憑證是有效的格式。
+ 憑證在其有效期間內 (換言之，未過期)。
+ 其加密金鑰大小符合所需大小下限 (若為 RSA 金鑰，必須是 2048 位元或更大)。

此稽核檢查會提供下列額外測試，來測試您的加密金鑰品質：
+ CVE-2008-0166 - 檢查是否已在 Debian 型作業系統上使用 OpenSSL 0.9.8c-1 以上但不超過 0.9.8g-9 的版本產生金鑰。這些版本的 OpenSSL 使用隨機數字產生器，產生可預測的數字，使遠端攻擊者更容易對加密金鑰進行暴力猜測攻擊。
+ CVE-2017-15361 - 檢查是否已使用 Infineon 信賴平台模組 (TPM) 韌體中的 Infineon RAS 程式庫 1.02.013 產生金鑰，例如 0000000000000422 - 4.34 之前的版本、000000000000062b - 6.43 之前的版本，以及 0000000000008521 - 133.33 之前的版本。該程式庫不當處理 RSA 金鑰產生，使攻擊者更容易透過目標攻擊打敗一些加密保護機制。受影響的技術範例包括搭配 TPM 1.2 的 BitLocker、YubiKey 4 (4.3.5 之前) PGP 金鑰產生，以及 Chrome 作業系統中的快取使用者資料加密功能。

AWS IoT Device Defender如果憑證無法通過測試，則 會將這些憑證報告為不合規。

此檢查會以 `CA_CERTIFICATE_KEY_QUALITY_CHECK` 出現在 CLI 和 API 中。

嚴重性：**關鍵**

## 詳細資訊
<a name="audit-chk-ca-cert-key-quality-details"></a>

此檢查適用於 ACTIVE 或 PENDING\$1TRANSFER 的憑證授權機構憑證。

當此檢查發現不合規的憑證時，將會傳回下列原因代碼：
+ CERTIFICATE\$1KEY\$1VULNERABILITY\$1CVE-2017-15361
+ CERTIFICATE\$1KEY\$1VULNERABILITY\$1CVE-2008-0166

## 為什麼它很重要
<a name="audit-chk-ca-cert-key-quality-why-it-matters"></a>

使用此憑證授權機構憑證簽署的新增裝置可能會造成安全威脅。

## 如何修正它
<a name="audit-chk-ca-cert-key-quality-how-to-fix"></a>

1. 使用 [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html)，在 AWS IoT 中將憑證授權機構憑證標示為 INACTIVE。您也可以使用緩解行動：
   + 套用 `UPDATE_CA_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。

1. 檢閱憑證授權機構憑證遭撤回後的裝置憑證註冊活動，並考慮撤回任何可能在此時間內使用該憑證發行的裝置憑證。(使用 [ ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) 列出由 CA 簽署的裝置憑證，以及使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 撤銷裝置憑證。)