# El certificado de entidad de certificación está caducando
<a name="audit-chk-ca-cert-approaching-expiration"></a>

Un certificado de entidad de certificación va a caducar dentro de 30 días o ha caducado.

Esta comprobación aparece como `CA_CERTIFICATE_EXPIRING_CHECK` en la CLI y la API.

**Gravedad:** media

## Details
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

Esta comprobación se aplica a los certificados de CA ACTIVE o PENDING\$1TRANSFER.

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra un certificado de entidad de certificación no conforme:
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## ¿Por qué importa?
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

Un certificado de entidad de certificación caducado no debe utilizarse para firmar nuevos certificados de dispositivos.

## Cómo solucionarlo
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

Consulte las prácticas recomendadas de seguridad para saber cómo proceder. Es posible que desee:

1. Registrar un nuevo certificado de entidad de certificación en AWS IoT.

1. Verificar que puede firmar certificados de dispositivo con el nuevo certificado de entidad de certificación.

1. Utilice [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) para marcar el antiguo certificado de entidad de certificación como INACTIVO en AWS IoT. También puede utilizar acciones de mitigación para realizar las siguientes acciones:
   + Aplicar la acción de mitigación `UPDATE_CA_CERTIFICATE` en los resultados de la auditoría para realizar este cambio. 
   + Aplicar la acción de mitigación `PUBLISH_FINDINGS_TO_SNS` si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS. 

   Para obtener más información, consulte [Acciones de mitigación](dd-mitigation-actions.md).