BasicConstaints в сертификатах конечных участников

[bcryptobot]

Почему расширение 'BasicConstraints' обязательно для сертификатов НЕ УЦ?

[pavlovkv]

Если почитать СТБ 34.101.19, то там целый клубок непонятно зачем нужных условий. Даже из названия ясно, что данное расширение является базовым (то есть для всех) и должно что-то ограничивать. Что может ограничить ограничить некритическое и необязательное расширение? Мы жестко и точно определяем правила для этого расширения. К тому же данная практика совпадает с другими распространенными ИОК.

[agievich]

Да, СТБ 34.101.19 (RFC5280) не требуют включения расширения BasicConstaints в сертификаты конечных участников. Жестко требуется включение расширения только в сертификаты УЦ. Однако сложилась практика включать BasicConstraints во все сертификаты. Так и сделано.