Синтаксис и семантика субпоследовательности «distributionPoint» те же самые, как и в последовательности «distributionPoint» субполя «cRLDistributionPoints» (4.2.1.13). Если субпоследовательность «distributionPoint» представлена, то она должна включать, в обязательном порядке, по крайней мере, одно из наименований, содержащихся в последовательности «distributionPoint» субполя «cRLDistributionPoints» каждого сертификата, который входит в сферу применения данного СОС. В субпоследовательности «distributionPoint» СОС и в последовательности «distributionPoint» сертификата должен использоваться, в обязательном порядке, один и тот же тип кодирования.
Если субпоследовательность «distributionPoint» отсутствует, то СОС должен содержать, в обязательном порядке, записи для всех аннулированных непросроченных сертификатов, выпущенных издателем СОС. В противном случае, СОС должен содержать, в обязательном порядке, записи для всех аннулированных непросроченных сертификатов, которые входят в сферу применения СОС.
Если область применения СОС включает только сертификаты, выпущенные издателем СОС, то субпоследовательность «indirectCRL» (содержит логический тип данных, «boolean») должна содержать, в обязательном порядке, значение «FALSE» (не верно). В противном случае, если область применения СОС включает сертификаты, выпущенные одним или несколькими УЦ, но отличными от издателя СОС, то субпоследовательность «indirectCRL» (содержит логический тип данных, «boolean») должна содержать, в обязательном порядке, значение «TRUE» (верно). УЦ, ответственный за каждую запись, указывается с помощью расширения записи СОС «certificateIssuer» (5.3.3).
Если область применения СОС включает только СЕРТ|ОК конечных пользователей, то субпоследовательность «onlyContainsUserCerts» должна содержать, в обязательном порядке, значение «TRUE» (верно). Если же область применения СОС включает только сертификаты УЦ, то субпоследовательность «onlyContainsCACerts» должна содержать, в обязательном порядке, значение «TRUE» (верно). Если одна из субпоследовательностей, либо «onlyContainsUserCerts», либо «onlyContainsCACerts» содержит значение «TRUE» (верно), то область применения СОС должна, в обязательном порядке, не включать сертификаты 1-ой и 2-ой версий. Издатели СОС, придерживающиеся данного стандарта, обязаны устанавливать в субпоследовательность «onlyContainsAttributeCerts» (содержит логический тип данных, «boolean») значение «FALSE» (не верно).
Издатели СОС, придерживающиеся данного стандарта, обязаны не выпускать сертификаты, в которых последовательность «issuingDistributionPoint», имеющая DER-кодировку, содержит пустое значение. Т.е., если все субпоследовательности «onlyContainsUserCerts», «onlyContainsCACerts», «indirectCRL» и «onlyContainsAttributeCerts» содержат значение «FALSE» (не верно), то одна из субпоследовательностей, либо «distributionPoint», либо «onlySomeReasons» должна быть представлена, в обязательном порядке.
id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-ce 28 }
IssuingDistributionPoint ::= SEQUENCE {
distributionPoint [0] DistributionPointName OPTIONAL,
onlyContainsUserCerts [1] BOOLEAN DEFAULT FALSE,
onlyContainsCACerts [2] BOOLEAN DEFAULT FALSE,
onlySomeReasons [3] ReasonFlags OPTIONAL,
indirectCRL [4] BOOLEAN DEFAULT FALSE,
onlyContainsAttributeCerts [5] BOOLEAN DEFAULT FALSE }
-- не более, чем одна из субпоследовательностей «onlyContainsUserCerts»,
-- «onlyContainsCACerts» и «onlyContainsAttributeCerts» может содержать
-- значение «TRUE»