# El certificado de dispositivo está caducando
<a name="audit-chk-device-cert-approaching-expiration"></a>

Un certificado de dispositivo va a caducar en el periodo de umbral configurado o ha caducado. El umbral de comprobación de la caducidad del certificado puede configurarse entre 30 días (mínimo) y 3652 días (10 años, máximo) con un valor predeterminado de 30 días.

Esta comprobación aparece como `DEVICE_CERTIFICATE_EXPIRING_CHECK` en la CLI y la API.

**Gravedad:** media

## Details
<a name="audit-chk-device-cert-approaching-expiration-details"></a>

Esta comprobación se aplica a los certificados de dispositivo ACTIVE o PENDING\$1TRANSFER.

Cuando esta comprobación encuentra un certificado de dispositivo no conforme se devuelven los siguientes códigos de motivo:
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## ¿Por qué importa?
<a name="audit-chk-device-cert-approaching-expiration-why-it-matters"></a>

Un certificado de dispositivo no debe utilizarse una vez que caduque.

## Configuración de la comprobación de caducidad del certificado del dispositivo
<a name="w2aab9c11c43c13"></a>

Esta configuración le permite supervisar y recibir alertas de los certificados que se acercan a la fecha de caducidad en toda la flota de dispositivos. Por ejemplo, si desea que se le notifique cuándo los certificados están a menos de 30 días de caducar, puede configurar la comprobación del siguiente modo:

```
{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_EXPIRING_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_EXPIRATION_THRESHOLD_IN_DAYS": "30"
            }
        }
    }
}
```

## Cómo solucionarlo
<a name="audit-chk-device-cert-approaching-expiration-how-to-fix"></a>

Consulte las prácticas recomendadas de seguridad para saber cómo proceder. Es posible que desee:

1. Aprovisionar un nuevo certificado y asociarlo al dispositivo. 

1. Verificar que el nuevo certificado sea válido y que el dispositivo pueda usarlo para conectarse.

1. Utilice [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) para marcar el certificado antiguo como INACTIVO en AWS IoT. También puede utilizar acciones de mitigación para:
   + Aplicar la acción de mitigación `UPDATE_DEVICE_CERTIFICATE` en los resultados de la auditoría para realizar este cambio. 
   + Aplicar la acción de mitigación `ADD_THINGS_TO_THING_GROUP` para agregar el dispositivo a un grupo en el que puede tomar medidas.
   + Aplicar la acción de mitigación `PUBLISH_FINDINGS_TO_SNS` si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS. 

   Para obtener más información, consulte [Acciones de mitigación](dd-mitigation-actions.md). 

1. Desvincular el certificado antiguo del dispositivo. (Consulte [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)