DEVICE_CERTIFICATE_SHARED_CHECK - AWS IoT
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

DEVICE_CERTIFICATE_SHARED_CHECK

多个并发连接使用相同的 X.509 证书向 AWS IoT 进行身份验证。

严重性:危急

详细信息

此检查一经启用,数据收集就会立即开始,但检查结果需要至少两个小时后才会出来。

在按需审核过程中进行此检查时,它会检查在审核开始之前 31 天内设备用于连接的证书和客户端 ID。对于计划审核,此检查会查看从上次运行审核到该审核实例开始期间的数据。如果在检查期间已采取措施来缓解这种状况,请记录执行并行连接的时间,以判断问题是否持续存在。

此检查发现不合规的证书时,会返回以下原因代码:

  • CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES

此外,此检查返回的结果还包含共享证书的 ID、使用证书进行连接的客户端的 ID,以及连接/连接断开次数。最近的结果列在最前面。

为什么这非常重要

每个设备应具有唯一证书以向 AWS IoT 进行身份验证。如果多个设备使用相同的证书,这可能表示设备已遭破坏。其身份可能已遭克隆,会进一步危害系统。

如何修复

验证设备证书是否已遭破坏。如果已遭破坏,请遵照安全最佳实践来缓解此情况。

如果在多个设备上使用同一证书,则需要执行以下操作:

  1. 预置新的唯一证书并将其附加到每个设备。

  2. 验证新证书是否有效,以及设备能否使用它们进行连接。

  3. 使用 UpdateCertificate 在 AWS IoT 中将旧证书标记为“REVOKED”。您还可以使用缓解操作实现以下目的:

    • 对您的审核结果应用 UPDATE_DEVICE_CERTIFICATE 缓解操作以进行此更改。

    • 应用 ADD_THINGS_TO_THING_GROUP 缓解操作,以将设备添加到可以对其执行操作的组。

    • 如果要实现自定义响应以响应 PUBLISH_FINDINGS_TO_SNS 消息,请应用 Amazon SNS 缓解操作。

    有关更多信息,请参阅 缓解操作

  4. 将旧证书从各个设备中分离。