# Certificado da CA expirando
<a name="audit-chk-ca-cert-approaching-expiration"></a>

Um certificado da CA vai expirar dentro de 30 dias ou expirou.

Essa verificação aparece como `CA_CERTIFICATE_EXPIRING_CHECK` na CLI e na API.

**Gravidade:** média

## Detalhes
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

Essa verificação se aplica a certificados da CA que estão ACTIVE ou PENDING\$1TRANSFER.

Os códigos de motivo a seguir são retornados quando essa verificação encontra um certificado da CA não compatível:
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## Por que isso importa?
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

Um certificado da CA expirado não deve ser usado para assinar novos certificados de dispositivo.

## Como corrigir
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

Consulte as práticas recomendadas de segurança para saber como proceder. Talvez você queira:

1. Registrar um novo certificado da CA com a AWS IoT.

1. Verificar se você pode assinar certificados de dispositivo usando os novos certificados da CA.

1. Use [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) para marcar o certificado antigo da CA como INACTIVE no AWS IoT. Você também pode usar ações de mitigação para fazer o seguinte:
   + Aplicar a ação de mitigação `UPDATE_CA_CERTIFICATE` em suas descobertas de auditoria para fazer essa mudança. 
   + Aplicar a ação de mitigação `PUBLISH_FINDINGS_TO_SNS` se você desejar implementar uma resposta personalizada em resposta à mensagem do Amazon SNS. 

   Para obter mais informações, consulte [Ações de mitigação](dd-mitigation-actions.md).