Như đã được chỉ ra ở trên đây, một số các mở rộng có liên quan tới chính sách có thể được trình bày trong một chứng chỉ đã cho. Các mở rộng có liên quan tới chính sách là cực kỳ quan trọng, chúng giúp khống chế việc sử dụng chứng chỉ tuân theo chính sách.
Các mở rộng liên quan tới chính sách chỉ dẫn trực tiếp hoặc không trực tiếp tới chính sách chứng chỉ. Khuyến cáo X.509 định nghĩa một Chính sách chứng thực như là:
Một tập được đặt tên của các quy tắc mà chỉ ra tính áp dụng của một chứng chỉ tới một cộng đồng cụ thể và/hoặc lớp các ứng dụng với các yêu cầu an toàn chung. Ví dụ, một chính sách chứng chỉ cụ thể có thể chỉ ra tính áp dụng của một dạng của chứng chỉ vào việc xác thực của các giao dịch trao đổi dữ liệu điện tử để buôn bán các đồ vật trong một mức giá đã cho[5].
Chính sách chứng thực và Khung thực hành chứng thực (Certificate Policy and Certification Practices Framework) cho Hạ tầng cơ sở khoá công khai X.509 cũng chấp nhận định nghĩa này.
Nó có thể được đối chiếu với định nghĩa của Tuyên bố thực hành chứng thực (CPS – Certification Practice Statement ): Tuyên bố về các thực hành mà một thẩm quyền chứng thực dùng đến trong khi cấp phát các chứng chỉ.
Nhìn chung, nó thống nhất rằng (1) một chính sách chứng chỉ là một tuyên bố mức cao của các yêu cầu và các hạn chế tương ứng với việc sử dụng có mục đích của các chứng chỉ được cấp phát dưới chính sách đó và (2) một CPS là một tài liệu rất chi tiết (và rất nhạy cảm về tiềm năng) mà mô tả các thủ tục vận hành bên trong của một CA và/hoặc PKI mà cấp ra các chứng chỉ này.
Các nguồn thông tin liên quan tới các Chính sách chứng thực và các Tuyên bố thực hành chứng thực là:
RFC2527: The Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework.
Các hướng dẫn CARAT (CARAT Guidelines) được bảo trợ bởi Hiệp hội ngân hàng tự động hoá quốc gia (National Automated Clearing House Association).
Các hướng dẫn chữ ký số: Hạ tầng pháp lý cho các thẩm quyền chứng thực và thương mại điện tử (Digital Signature Guidelines: Legal Infrastructure for Certification Authorities and Electronic Commerce) của Hiệp hội luật sư Hoa kỳ (Ameriacn Bar Association).
Một Chính sách chứng thực được mong đợi là một tài liệu mức cao hơn so với một CPS, và thông thường nó quan tâm tới cái gì sẽ được hỗ trợ chứ không phải nó sẽ được hỗ trợ như thế nào. Ngược lại, một CPS được mong đợi là một tài liệu đủ chi tiết, kỹ thuật toàn diện và thủ tục đối với hoạt động của hạ tầng hỗ trợ.
Vai trò của các Certificate Policy và CPS
Vai trò mà các chính sách chứng thực và các CPS có thể có là giống nhau và với một mức độ lớn phụ thuộc vào kiểu của lĩnh vực PKI được xem xét.
Ví dụ, mô hình chúng ta nhìn thấy trong môi trường Web chứng tỏ rằng những nhà cung cấp chứng chỉ của máy chủ web và người sử dụng đầu cuối (như Verisign chẳng hạn) công bố CPS của họ trên trang web của họ, và các chứng chỉ mà họ phát
hành chỉ tới CPS của họ một cách trực tuyến. CPS chứa một thoả thuận lớn của thông tin, bao gồm các đảm bảo và các nghĩa vụ được ngụ ý chuyển tới người sử dụng đầu cuối. Cho nên, CPS là một tài liệu phạm vi công khai, đối tượng để xem xét kỹ lưỡng của nhiều người. Một mặt khác, lĩnh vực PKI doanh nghiệp thông thường coi CPS là rất nhạy cảm, thông thường để dành cho các mục đích bên trong và kiểm toán. CPS hiếm khi là tài liệu phạm vi công khai trong những trường hợp này, hoặc không được sử dụng để chuyển thông tin tới người sử dụng đầu cuối trong phạm vi doanh nghiệp.
Vai trò của những tài liệu này trong việc hoàn thiện các thoả thuận chứng chỉ chéo cũng có thể thay đổi. Một cách nghĩ đề xuất rằng CPS của một phạm vi này cần được xem xét kỹ lưỡng chống lại CPS của một phạm vi khác. Một mặt khác, CPS có thể không tạo nên một cơ sở thích hợp để thiết lập chứng thực chéo (hoặc tổng quát hơn, các thoả thuận của tính tương tác) vì một số lý do. Trước hết, như đã nhận thấy ở trên, CPS hướng tới là một tài liệu rất chi tiết đồ sộ, điều này làm cho việc so sánh các CPS nặng nề và tốn công sức. Thứ hai, các khác biệt thuật ngữ từ một CPS này tới một CPS khác làm cho các so sánh tương đương khó được trình bày. Thứ ba, thậm chí cho các mục đích thiết lập thoả thuận chứng thực chéo với các doanh nghiệp khác. Cho nên có thể tranh cãi rằng các chính sách chứng thực tạo ra nhiều cơ sở thích hợp hơn để thiết lập các thoả thuận chứng thực chéo.
Căn cứ như trên, một số người đề xuất rằng chỉ có CPS là được yêu cầu cho nhà cung cấp dịch vụ CA và chỉ có chính sách chứng thực là được yêu cầu cho tổ chức. Tuy nhiên, thực tế CPS thông thường được sử dụng trong ngữ cảnh doanh nghiệp để dẫn chứng bằng tài liệu các thủ tục hoạt động nội bộ của các tổ chức PKI và CPS thường được sử dụng cho các mục đích kiểm toán nội bộ. Cũng có khả năng một tổ chức chấp nhận CPS của một nhà cung cấp dịch vụ thứ ba khi bên thứ ba cung cấp một số hoặc tất cả các dịch vụ PKI của tổ chức này
Các định danh chủ thể (Object Identifiers)
Để dễ phân biệt các chính sách chứng thực với nhau, mỗi chính sách chứng thực được gán một OID duy nhất toàn cục. Một hoặc nhiều OID có thể được chỉ ra
trong trường mở rộng chứng chỉ Certificate Policies, chúng có thể được phát biểu rõ khi thích hợp. Ví dụ, RFC3280 định nghĩa 2 khả năng (qualifier) chính sách chứng thực tuỳ lựa chọn: thông cáo người sử dụng (User Notice) và con trỏ tới một CPS. Các chính sách chứng thực có thể được đặt trong các chức thực của thực thể đầu cuối cũng như các chứng thực của CA. Các chứng thực chéo cũng có thể chứa mở rộng Policy Mappings, nó cho phép một OID chính sách trong một lĩnh vực này có thể được chỉ định tương đương với một OID chính sách trong lĩnh vực khác. Cho nên, nếu hai PKI lĩnh vực mà mỗi cái định nghĩa một chính sách chứng thực để trao đổi thư tín điện tử nội bộ của chúng và hai chính sách được thấy rằng là tương đương bởi mỗi lĩnh vực, việc định nghĩa OID chính sách thứ ba để cho phép các trao đổi thư điện tử giữa 2 lĩnh vực là không cần thiết.
Các thẩm quyền chính sách (Policy Authorities)
Các thẩm quyền chính sách (đôi khi được nói tới như là các thẩm quyền quản lý chính sách) thiết lập ra các chính sách chứng thực. Thẩm quyền chính sách tự nó có thể thay đổi từ tổ chức này tới tổ chức khác. Ví dụ, mỗi tổ chức có thể thiết lập các chính sách của riêng mình do thẩm quyền của ban an toàn công nghệ thông tin (Information Technology Security) nội bộ hoặc tương đương. Cách khác, thẩm quyền này có thể bắt nguồn từ hội đồng tư vấn chính sách được tạo nên bởi các thành viên từ các ban chính trong tổ chức. Trong sự phối hợp với thẩm quyền nội bộ (hoặc có thể thay cho một thẩm quyền như vậy), thẩm quyền chính sách bên ngoài có thể thiết lập các chính sách chứng thực cho một số các PKI miền mà thuộc về cùng cộng đồng của mối quan tâm. Trong trường hợp bất kỳ, thẩm quyền chính sách chịu trách nhiệm cho việc đăng ký các chính sách chứng thực với thẩm quyền đăng ký thích hợp (ví dụ, thẩm quyền đăng ký quốc gia) sao cho các OID chính sách chứng thực có thể được gán một cách thích hợp.