# 已撤銷的裝置憑證仍然作用中。
<a name="audit-chk-revoked-device-cert"></a>

已撤回的裝置憑證仍然運作中。

此檢查會以 `REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK` 出現在 CLI 和 API 中。

嚴重性：**中**

## 詳細資訊
<a name="audit-chk-revoked-device-cert-details"></a>

裝置憑證已在 CA 的[憑證撤回清單](https://en.wikipedia.org/wiki/Certificate_revocation_list)中，但在 AWS IoT 卻仍為使用中。

此檢查適用於 ACTIVE 或 PENDING\$1TRANSFER 的裝置憑證。

當此檢查發現不合規時，將會傳回下列原因代碼：
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## 為什麼它很重要
<a name="audit-chk-revoked-device-cert-why-it-matters"></a>

裝置憑證通常撤銷，因為它已遭入侵。由於錯誤或疏忽，在 AWS IoT 中可能尚未將它撤銷。

## 如何修正它
<a name="audit-chk-revoked-device-cert-how-to-fix"></a>

確認裝置憑證未遭洩漏。若已遭洩漏，依照您的安全性最佳實務來減緩情況。您可能想要：

1. 為各裝置佈建新的憑證。

1. 確認新憑證為有效且裝置可用來連線。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)，在 AWS IoT 中將舊憑證標示為 REVOKED。您也可以使用緩解行動：
   + 套用 `UPDATE_DEVICE_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 套用 `ADD_THINGS_TO_THING_GROUP` 緩解行動來新增裝置到您可以採取行動的群組。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。

1. 從裝置分離舊憑證。(請參閱 [ DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)。)