Le politiche dei certificati e i vincoli di base sono problemi completamente ortogonali. I mapping dei criteri influiscono sull'elaborazione della "struttura dei criteri" ma non modificano la lunghezza del percorso e non rendono un certificato CA non CA o viceversa.
Sei sicuro di voler utilizzare una lunghezza del percorso esplicita nei vincoli di base? Questo è raramente fatto; in quanto tale, è probabilmente erroneamente implementato da alcuni motori di convalida dei certificati. L'impostazione di una lunghezza esplicita viene utilizzata per fornire a una CA secondaria la potenza di essere una CA (ad esempio, i certificati di emissione), ma per impedire loro di delegare tale alimentazione a una CA secondaria. Ci vuole un certo sforzo per trovare una situazione in cui tale restrizione abbia senso: se una CA considera la sua sub-CA come un potenziale aggressore, allora c'è qualcosa di decisamente putrefatto nel regno. Detto altrimenti, una sub-CA ostile ha già un tremendo potere di disturbo anche se non può emettere un sub-sub-CA.
Vorrei consigliare per una migliore interoperabilità , non includere una lunghezza esplicita nell'estensione dei vincoli di base. Contrassegnare le CA come CA e non CA come non CA, e dovrebbe essere sufficiente.