4.2. Субполя «Расширение сертификата» поля «Расширения»
Поле «Расширения», описанное в Рекомендации ITU-T X.509 3-ей версии, представляет собой способ, который позволяет «связывать» дополнительные атрибуты с пользователями или открытыми ключами и обеспечивает взаимосвязи между УЦ. Формат сертификата, в соответствие с Рекомендацией ITU-T X.509 3-ей версии, также позволяет включать дополнительные частные субполя «Расширение сертификата», которые содержат уникальную корпоративную информацию, необходимую для определённых Интернет-сообществ (частных организаций). Каждое субполе «Расширение сертификата» может иметь статус, либо «критичное» (critical), либо «не критичное» (non-critical). ИТС, использующая сертификаты, обязана удалять сертификат, если она «наталкивается» на «критичное» субполе, но не может его распознать, или «критичное» субполе содержит информацию, которую система не способна обработать. «Не критичное» субполе может быть проигнорировано, если оно не распознаётся, но должно быть обязательно обработано, если оно распознаётся. Далее будут рассмотрены рекомендуемые субполя «Расширение сертификата», используемые в Интернет-сертификатах, а также стандартные субполя для размещения соответствующей информации. Частные организации могут использовать и дополнительные субполя, однако, следует проявлять «осторожность» при использовании критичных субполей в сертификатах, так как такие субполя могут препятствовать использованию сертификатов в общем контексте.
Каждое субполе «Расширение сертификата» включает OID и последовательность символов в ASN.1-формате. Когда субполе присутствует в сертификате, то OID кодируется как последовательность «extnID» (идентификатор расширения), а соответствующая кодовая последовательность октетов «extnValue» (содержание расширения) имеет DER/ASN.1-структуру. Сертификат не должен содержать более одного субполя соответствующего расширения. Например, сертификат может содержать только одно субполе расширения «идентификатор ключа УЦ» (authority key identifier extension). Субполе «Расширение сертификата» включает логическое число «критичности», а в режиме «по умолчанию» это субполе содержит значение «критичности» — «FALSE» (ошибка). Для УЦ, придерживающихся данного стандарта, текст в каждом субполе устанавливает допустимые варианты значения «критичности».
УЦ, придерживающиеся данного стандарта, обязаны использовать субполя следующих расширений сертификата: идентификаторы ключей, основные ограничения, сферы применения ключа и политики сертификации. Если УЦ издаёт сертификаты с пустым полем «Subject», то данный УЦ обязан использовать субполе расширения «альтернативное имя владельца сертификата» (subject alternative name). Использование остальных субполей в поле «Расширения» является необязательным. УЦ, придерживающиеся данного стандарта, также могут применять субполя расширений, которые не представлены в данном стандарте. Издатели сертификатов должны обратить внимание на то, использование не упомянутых в данном стандарте субполей расширений как «критичных» может нарушить функциональную совместимость.
Прикладные системы, базирующиеся на данном стандарте, как минимум обязаны определять следующие субполя расширений: сферы применения ключа, политики сертификации, альтернативное имя владельца сертификата, основные ограничения, ограничения именования, ограничения политики, расширение сферы применения ключа и запрет расширения «anyPolicy» (любая политика).
Кроме того, прикладные системы, базирующиеся на данном стандарте, должны определять следующие субполя расширений: УЦ и идентификатор ключа владельца сертификата, а также отображения политики.