4.2.1.13. Точки распространения СОС
Субполе «cRLDistributionPoints» указывает на то, как можно получить информацию о СОС. Целесообразно, чтобы это субполе помечалось как «не критичное», но данный стандарт рекомендует обрабатывать данное субполе всеми УЦ и прикладными системами. Проблемы обеспечения СОС рассматриваются ниже.
Субполе «cRLDistributionPoints» представляет собой набор следующих друг за другом последовательностей «DistributionPoint». Последовательность «DistributionPoint» состоит из трёх субпоследовательностей, каждая из которых является дополнительной (не обязательной): «distributionPoint», «reasons» и «cRLIssuer». Несмотря на то, что субпоследовательности являются не обязательными, последовательность «DistributionPoint» не должна содержать только одну субпоследовательность «reasons», но в ней должна быть в обязательном порядке представлена, либо субпоследовательность «distributionPoint», либо субпоследовательность «cRLIssuer». Если издатель сертификата не является издателем СОС, то обязательно должна быть представлена субпоследовательность «cRLIssuer», содержащая имя издателя СОС. Если издатель сертификата также является издателем СОС, то УЦ, придерживающиеся данного стандарта, обязаны пропускать субпоследовательность «cRLIssuer», но обязаны включать субпоследовательность «distributionPoint».
Если имеет место субпоследовательность «distributionPoint», то она должна содержать, либо набор следующих друг за другом общих имён, либо одиночное значение «nameRelativeToCRLIssuer». Если последовательность «DistributionPoint» включает несколько величин, то каждое имя определяет специфический способ получения одного и того же СОС. Например, один и тот же СОС мог быть доступен при поиске с помощью LDAP- и HTTP-протоколов.
Если субпоследовательность «distributionPoint» содержит имя в формате «directoryName» (СЕК-имя), то запись под таким именем «directoryName» включает действующий СОС по указанным в субпоследовательности «reasons» причинам и СОС, выпущенный указанным в субпоследовательности «cRLIssuer» издателем. СОС может содержаться, либо в атрибуте «certificateRevocationList», либо в атрибуте «authorityRevocationList». Прикладная система (прикладной процесс) может получить СОС из любого СЕК-сервера, настраиваемого локально. Протокол, который использует прикладная система (прикладной процесс) для обращения к Службе единого каталога (например, DAP- или LDAP-протокол), выбирается локально самой прикладной системой.