5.2.5. Точка распространения СОС
Последовательность «issuingDistributionPoint» представляет собой критичное расширение СОС, которое указывает на точку распространения СОС и область применения соответствующего СОС, а также устанавливает, включает ли СОС только отозванные сертификаты конечных пользователей, только атрибутные сертификаты или только сертификаты, аннулированные в соответствие с ограниченной группой кодов причин отзыва. Несмотря на то, что последовательность «issuingDistributionPoint» является критичной, от прикладных систем и ИТС, придерживающихся данного стандарта, не требуется обрабатывать данный информационный элемент. Тем не менее, прикладные системы и ИТС, которые не обрабатывают данную последовательность, обязаны, либо проверять состояние любого сертификата, не представленного в данном СОС из-за того, что он не известен, либо использовать другой СОС, который не включает каких-либо неизвестных критичных расширений.
Издатель СОС подписывает выпущенный им СОС с использованием своего закрытого ключа. В точках распространения СОС отсутствуют свои собственные пары криптоключей. Если СОС храниться в репозитарии (сервере) СЕК-службы (Рекомендация ITU-T X.500), то он храниться в элементе каталога, соответствующем точке распространения СОС, которая может отличаться от элемента каталога, соответствующего издателю СОС.
Кода причин отзыва, связанные с точкой распространения, должны указываться, в обязательном порядке, в субпоследовательности «onlySomeReasons». Если субпоследовательность «onlySomeReasons» не представлена, то субпоследовательность «distributionPoint» должна включать, в обязательном порядке, отзывы сертификатов со всеми кодами причин. УЦ могут воспользоваться точками распространения СОС для разделения СОС, либо для скомпрометированных сертификатов, либо для отзыва сертификатов обычным порядком. В таком случае, отзывы сертификатов с кодом причины «keyCompromise» (1), «cACompromise» (2) и «aACompromise» (8) содержатся в одной точке распространения СОС, а отзывы сертификатов другими кодами причин содержатся в другой точке распространения СОС.
Если СОС включает последовательность «issuingDistributionPoint» с субпоследовательностью «onlySomeReasons», то для каждого аннулированного сертификата, входящего в область применения СОС, должна быть указана причина его отзыва, которая не относится категории неизвестных (unspecified). Указание причины отзыва используется для определения в каком СОС представлен аннулированный сертификат, тем не менее, включение расширения записи СОС «reasonCode» в соответствующую запись СОС не обязательно.