# Expiration du certificat CA
<a name="audit-chk-ca-cert-approaching-expiration"></a>

Un certificat CA expire sous 30 jours ou a expiré.

Cette vérification apparaît comme `CA_CERTIFICATE_EXPIRING_CHECK` dans la CLI et l’API.

**Gravité :** Moyenne

## Détails
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

Ce contrôle s’applique aux certificats CA ACTIVE ou PENDING\_TRANSFER.

Voici les codes de motif renvoyés lorsque ce contrôle trouve un certificat CA non conforme :
+ CERTIFICATE\_APPROACHING\_EXPIRATION
+ CERTIFICATE\_PAST\_EXPIRATION

## Pourquoi est-ce important ?
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

Un certificat CA expiré ne doit plus être utilisé pour signer de nouveaux certificats d’appareil.

## Comment réparer
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

Consultez vos bonnes pratiques de sécurité pour savoir comment procéder. Il se peut que vous souhaitiez :

1. Enregistrer un nouveau certificat de CA auprès d’ AWS IoT.

1. Vérifier que vous pouvez signer les certificats d’appareil à l’aide du nouveau certificat de CA.

1. Utilisez [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) pour marquer l’ancien certificat CA comme INACTIF dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les opérations suivantes :
   + Appliquer l’action d’atténuation `UPDATE_CA_CERTIFICATE` sur vos résultats d’audit pour effectuer ce changement. 
   + Appliquer l’action d’atténuation `PUBLISH_FINDINGS_TO_SNS` si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS. 

   Pour de plus amples informations, consultez [Actions d'atténuation](dd-mitigation-actions.md).