Fai attenzione che l'insieme di possibili estensioni sia, per definizione, non limitato (almeno non praticamente, c'è un limite interno un po 'di circa 128 2 255 ). Esistono estensioni standard descritte nello standard X.509, ma potrebbe esserci molto di più altrove. In particolare, le implementazioni di Microsoft (ad esempio Servizi certificati AD) tendono a utilizzare alcune estensioni specifiche di Microsoft (ad esempio un'estensione che designa il "modello di certificato" utilizzato per rilasciare un determinato certificato).
Tra le estensioni descritte in RFC 5280 (che è lo standard per "X.509 su Internet"), i seguenti sono usati raramente nella pratica:
-
Policy Mappings
: le persone raramente ottengono le politiche in ogni caso e, per utilizzare le associazioni in maniera significativa, devi capire come funzionano le politiche dei certificati.
-
Issuer Alternative Names
: questa non è un'estensione molto utile, dal momento che il concatenamento dei nomi in un percorso di certificato utilizza Nomi distinti, quindi ci sono pochi motivi per dare nomi aggiuntivi all'emittente (se sono necessari nomi extra per un'entità, che saranno come Subject Alternative Names
nel certificato per quell'entità).
-
Name Constraints
: il supporto da implementazioni esistenti è, diciamo, un po 'carente in termini di affidabilità. Inoltre, la semantica è complessa e inventata, quindi anche se qualcuno dice che l'hanno implementata, non si può essere sicuri che l'abbiano implementato correttamente ed è difficile da testare. Quindi, nessuno li usa davvero.
-
Policy Constraints
e Inhibit anyPolicy
: stessi motivi dei mapping di criteri.
-
Subject Directory Attributes
: troppo nuovo, ambito troppo ampio.
Tutte le altre estensioni standard sono comunemente usate (non sempre usate, ma abbastanza comuni). Tuttavia, alcune funzionalità di queste estensioni vengono utilizzate raramente, tra cui CRL indiretto (in cui l'emittente CRL non è la CA), ambiti CRL che non coprono tutti i motivi di revoca, gli indirizzi X.400, ...