Ciò che Microsoft chiama "politiche di emissione" o "garanzia" sono note come Criteri dei certificati in X.509 (consultare la sezione 4.2.1.4). Una politica di certificazione è definita come tale:
In an end entity certificate, these policy information terms indicate
the policy under which the certificate has been issued and the
purposes for which the certificate may be used. In a CA certificate,
these policy information terms limit the set of policies for
certification paths that include this certificate.
L'idea completa di un OID è di identificare in modo univoco e non ambiguo un "oggetto" (che può davvero essere qualsiasi cosa, compresi concetti astratti) in una gerarchia di denominazione mondiale. Come tale, l'OID generato casualmente vanifica totalmente lo scopo e non può essere perdonato. Nel caso delle politiche sui certificati, l'OID dovrebbe "puntare" su una politica specifica, cioè un documento che definisce le condizioni in base alle quali è stato rilasciato il certificato e per quale può essere utilizzato. Dovresti ottenere una sottostruttura OID: qualsiasi organizzazione può ottenere la propria sottostruttura dalla IANA (è gratuita e permanente). Quindi assegni l'OID in quella sottostruttura in qualsiasi modo tu ritenga opportuno.
Detto questo, le politiche sui certificati hanno senso come parte del processo di convalida dei certificati descritto in sezione 6 di RFC 5280 (vedi in particolare la fase (a) di 6.1.2, (d), (e) e (f) di 6.1.3 e la fase (g) di 6.1.5). Il processo di convalida calcola l'insieme di politiche del certificato che sono valide per l'intero percorso , cioè che appaiono in ogni certificato nel percorso. Ci sono varie sottigliezze, in particolare per quanto riguarda lo speciale carattere jolly anyPolicy (che è 2.5.29.32.0, che Microsoft chiama "All Issuance") e le associazioni di criteri. Tuttavia, se uno dei certificati CA nel percorso non ha alcuna estensione Certificate Policies , quindi vallid_policy_tree sarà NULL , vale a dire che tutto si riduce a zero. Il percorso del certificato verrà convalidato "genericamente", ma da esso non uscirà alcuna norma specificata.
La triste verità è che molti CA utilizzano i certificati nel modo in cui Microsoft lo promuove, cioè completamente sbagliato riguardo a cosa avrebbero dovuto fare; al contrario, usano le politiche dei certificati come una sorta di commento di fantasia che il software ignorerà in modo coerente (le politiche possono essere associate a qualificatori , che possono essere semplici o URL che puntano a qualcosa che può essere o meno leggibile documento).
Poiché le norme sui certificati sono utilizzate in modo così approfondito, non è utile rendere l'estensione critica. In pratica, aggiungi l'estensione con un URL che punta a una pagina di oltre 200 Dichiarazione di certificazione come file PDF, che a per lo meno dimostra che sei serio riguardo alla tua attività in CA, al punto che sei disposto a indulgere in qualche legalista pesante. Vedi RFC 3647 per indicazioni su come scrivere un CPS.