4.2.1.4. Политики сертификации
Субполе «certificatePolicies» в поле «Расширения» сертификата содержит последовательность, состоящую из одного или нескольких информативных терминов, описывающих политику сертификации, и каждый из которых состоит из OID и дополнительных определителей. Дополнительные определители, которые могут присутствовать в сертификате, не предполагают внесения изменений в описание политики. OID политики сертификации должен быть представлен в субполе «certificatePolicies» поля «Расширения» сертификата не более одного раза.
В сертификате конечного пользователя информативные термины, описывающие политику сертификации, указывают на политику, в соответствие с которой выпускается сертификат, и на цели, в соответствие с которыми может использоваться сертификат. В сертификате УЦ информативные термины, описывающие политику сертификации, ограничивают совокупность политик, предназначенных для МС, которые включают данный сертификат. Если УЦ не желает ограничивать совокупность политик, предназначенных для МС, которые включают данный сертификат, то он может указать особую политику «anyPolicy» со значением { 2 5 29 32 0 }.
Предполагается, что прикладные системы со специфическими требованиями к политикам сертификации имеют перечень таких приемлемых политик. Они будут сравнивать OID, содержащиеся в сертификатах, с OID, содержащимися в перечнях приемлемых политик сертификации. Если это субполе «certificatePolicies» является критичным, то программный модуль проверки подлинности МС обязан корректно интерпретировать это субполе (включая дополнительный определитель), либо уничтожить такой сертификат.
В целях обеспечения функциональной совместимости данный стандарт рекомендует, чтобы информативные термины, описывающие политику сертификации, состояли только из одного OID. В случае, когда одного OID недостаточно, данный стандарт строго рекомендует, чтобы использование определителей было ограничено. Число таких определителей определено ниже. Когда определители используются совместно с особой политикой сертификации «anyPolicy», то их число также должно быть ограничено (см. ниже). Принимаются во внимание только те определители, которые возвращаются в качестве результатов выполнения процедуры подтверждения подлинности МС.