L'applicazione delle politiche viene eseguita nei sistemi che utilizzano questi certificati per l'autenticazione o simili, ovvero browser Web, app mobili, client di posta (S / MIME), peer IPSec, .... Ci sono alcune politiche che sono chiaramente definite negli standard e che di solito sono implementate in tutti i sistemi che trattano i certificati X509 (ad esempio cose come scadenza, utilizzo delle chiavi ...).
È probabile che eventuali politiche non comuni e / o specifiche del fornitore non siano supportate universalmente. Potrebbero essere supportati per un caso d'uso specifico (ad esempio l'autenticazione in HTTPS) o in alcuni ambienti specifici del fornitore, ma non ovunque.
X509 ha comunque la possibilità di contrassegnare le estensioni come richiesto e un client che non comprende un'estensione specifica sa ancora se è richiesta o meno la comprensione di un'estensione. Ciò significa che un client conforme allo standard che non comprende un'estensione richiesta specifica considererà il certificato non valido. Se invece l'estensione non è contrassegnata come richiesta, il client può semplicemente ignorare tale estensione sconosciuta.