Las políticas de certificado y las restricciones básicas son problemas completamente ortogonales. Las asignaciones de políticas afectan el procesamiento del "árbol de políticas", pero no cambian la longitud de la ruta y no hacen que un certificado de CA no sea de CA o viceversa.
¿Está seguro de que desea utilizar una longitud de ruta explícita en las restricciones básicas? Esto se hace raramente; como tal, es posible que algunos motores de validación de certificados lo implementen incorrectamente. La configuración de una longitud explícita se usa para otorgar a una sub-CA el poder de ser una CA (es decir, emitir certificados) pero para evitar que deleguen esa potencia a una sub-sub-CA. Se necesita algo de esfuerzo para encontrar una situación en la que dicha restricción tenga sentido: si una CA considera a su sub-CA como un posible atacante, entonces hay algo definitivamente podrido en el reino. Dicho de otro modo, una sub-CA hostil ya tiene un tremendo poder de molestia, incluso si no puede emitir una sub-sub-CA.
Recomendaría, para una mejor interoperabilidad , que no incluya una extensión explícita en la extensión de Restricciones básicas. Marque CAs como CAs y no CAs como no CAs, y eso debería ser suficiente.