# Certificato emesso da una CA in scadenza
<a name="audit-chk-ca-cert-approaching-expiration"></a>

Un certificato CA è in scadenza tra 30 giorni o è scaduto.

Questo controllo viene visualizzato come `CA_CERTIFICATE_EXPIRING_CHECK` nell’interfaccia a riga di comando e nell’API.

**Gravità:** media

## Informazioni
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

Questo controllo si applica ai certificati CA contrassegnati come "ACTIVE" o "PENDING\$1TRANSFER".

Quando questo controllo trova un certificato CA non conforme, vengono restituiti i codici motivo seguenti:
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## Perché è importante
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

Un certificato CA scaduto non deve più essere usato per firmare i nuovi certificati dei dispositivi.

## Come risolvere il problema
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

Consulta le best practice sulla sicurezza per sapere come procedere. È possibile:

1. Registrare un nuovo certificato CA con AWS IoT.

1. Verificare di poter accedere ai certificati del dispositivo utilizzando il nuovo certificato CA.

1. Utilizzare [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) per contrassegnare il certificato CA precedente come INACTIVE in AWS IoT. È inoltre possibile utilizzare le azioni di mitigazione per effettuare le seguenti operazioni:
   + Applicare l’operazione di mitigazione `UPDATE_CA_CERTIFICATE` sui risultati di audit per apportare questa modifica. 
   + Applica l’operazione di mitigazione `PUBLISH_FINDINGS_TO_SNS` per implementare una risposta personalizzata al messaggio di Amazon SNS. 

   Per ulteriori informazioni, consulta [Operazioni di mitigazione](dd-mitigation-actions.md).