Если последовательность «DistributionPoint» не содержит субпоследовательности «reasons», то СОС должен обязательно включать все причины аннулирования сертификатов. Данный стандарт не рекомендует сегментацию СОС с помощью кода причины («reasons»). Если УЦ, придерживающиеся данного стандарта, включают в сертификат субполе «cRLDistributionPoints», то данное субполе должно, в обязательном порядке, включать, по крайней мере, одну последовательность «DistributionPoint», которая указывает на СОС, содержащий сертификат со всеми причинами.
Субпоследовательность «cRLIssuer» идентифицирует субъект, который подписал и издал СОС. Если такая субпоследовательность представлена, то она должна, в обязательном порядке, включать только уникальное имя СОС, скопированное из поля «Issuer», на которое указывает последовательность «DistributionPoint». Кодировка имени в субпоследовательности «cRLIssuer» должно точно совпадать с кодировкой в поле «Issuer» СОС. Если субпоследовательность «cRLIssuer» включена, а уникальное имя в этой субпоследовательности не соответствует СЕК-записи, закодированной по правилам, представленным в Рекомендации ITU-T Х.500, или по правилам LDAP-протокола, и указывающей место расположения СОС, то УЦ, придерживающиеся данного стандарта, обязаны включать в сертификат субпоследовательность «distributionPoint».
id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::= { id-ce 31 } CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint DistributionPoint ::= SEQUENCE { distributionPoint [0] DistributionPointName OPTIONAL, reasons [1] ReasonFlags OPTIONAL, cRLIssuer [2] GeneralNames OPTIONAL } DistributionPointName ::= CHOICE { fullName [0] GeneralNames, nameRelativeToCRLIssuer [1] RelativeDistinguishedName } ReasonFlags ::= BIT STRING { unused (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), superseded (4), cessationOfOperation (5), certificateHold (6), privilegeWithdrawn (7), aACompromise (8) }