# Certificado do dispositivo expirando
<a name="audit-chk-device-cert-approaching-expiration"></a>

Um certificado de dispositivo expira dentro do período limite configurado ou já expirou. O limite de verificação de expiração do certificado pode ser configurado entre 30 dias (mínimo) e 3.652 dias (10 anos, máximo) com um valor padrão de 30 dias.

Essa verificação aparece como `DEVICE_CERTIFICATE_EXPIRING_CHECK` na CLI e na API.

**Gravidade:** média

## Detalhes
<a name="audit-chk-device-cert-approaching-expiration-details"></a>

Essa verificação se aplica a certificados de dispositivo que estão ACTIVE ou PENDING\_TRANSFER.

Os códigos de motivo a seguir são retornados quando essa verificação encontra um certificado de dispositivo não compatível:
+ CERTIFICATE\_APPROACHING\_EXPIRATION
+ CERTIFICATE\_PAST\_EXPIRATION

## Por que isso importa?
<a name="audit-chk-device-cert-approaching-expiration-why-it-matters"></a>

Um certificado de dispositivo não deve ser usado depois que ele expira.

## Configurar a verificação de expiração do certificado de dispositivo
<a name="w2aab9c11c43c13"></a>

Essa configuração permite monitorar e receber alertas para certificados que se aproximam da data de expiração em toda a frota de dispositivos. Por exemplo, se quiser receber um aviso quando os certificados estiverem a 30 dias da expiração, você poderá configurar a verificação da seguinte forma:

```
{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_EXPIRING_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_EXPIRATION_THRESHOLD_IN_DAYS": "30"
            }
        }
    }
}
```

## Como corrigir
<a name="audit-chk-device-cert-approaching-expiration-how-to-fix"></a>

Consulte as práticas recomendadas de segurança para saber como proceder. Talvez você queira:

1. Provisione um novo certificado e o anexe ao dispositivo. 

1. Verifique se o novo certificado é válido e se o dispositivo pode usá-lo para se conectar.

1. Use [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) para marcar o certificado antigo como INACTIVE na AWS IoT. Você também pode usar ações de mitigação para:
   + Aplicar a ação de mitigação `UPDATE_DEVICE_CERTIFICATE` em suas descobertas de auditoria para fazer essa mudança. 
   + Aplicar a ação de mitigação `ADD_THINGS_TO_THING_GROUP` para adicionar o dispositivo a um grupo, onde é possível executar uma ação sobre ele.
   + Aplicar a ação de mitigação `PUBLISH_FINDINGS_TO_SNS` se você desejar implementar uma resposta personalizada em resposta à mensagem do Amazon SNS. 

   Para obter mais informações, consulte [Ações de mitigação](dd-mitigation-actions.md). 

1. Desanexe o antigo certificado do dispositivo. (Consulte [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)