Если последовательность «DistributionPoint» не содержит субпоследовательности «reasons», то СОС должен обязательно включать все причины аннулирования сертификатов. Данный стандарт не рекомендует сегментацию СОС с помощью кода причины («reasons»). Если УЦ, придерживающиеся данного стандарта, включают в сертификат субполе «cRLDistributionPoints», то данное субполе должно, в обязательном порядке, включать, по крайней мере, одну последовательность «DistributionPoint», которая указывает на СОС, содержащий сертификат со всеми причинами.
Субпоследовательность «cRLIssuer» идентифицирует субъект, который подписал и издал СОС. Если такая субпоследовательность представлена, то она должна, в обязательном порядке, включать только уникальное имя СОС, скопированное из поля «Issuer», на которое указывает последовательность «DistributionPoint». Кодировка имени в субпоследовательности «cRLIssuer» должно точно совпадать с кодировкой в поле «Issuer» СОС. Если субпоследовательность «cRLIssuer» включена, а уникальное имя в этой субпоследовательности не соответствует СЕК-записи, закодированной по правилам, представленным в Рекомендации ITU-T Х.500, или по правилам LDAP-протокола, и указывающей место расположения СОС, то УЦ, придерживающиеся данного стандарта, обязаны включать в сертификат субпоследовательность «distributionPoint».
id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::= { id-ce 31 }
CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint
DistributionPoint ::= SEQUENCE {
distributionPoint [0] DistributionPointName OPTIONAL,
reasons [1] ReasonFlags OPTIONAL,
cRLIssuer [2] GeneralNames OPTIONAL }
DistributionPointName ::= CHOICE {
fullName [0] GeneralNames,
nameRelativeToCRLIssuer [1] RelativeDistinguishedName }
ReasonFlags ::= BIT STRING {
unused (0),
keyCompromise (1),
cACompromise (2),
affiliationChanged (3),
superseded (4),
cessationOfOperation (5),
certificateHold (6),
privilegeWithdrawn (7),
aACompromise (8) }