La aplicación de políticas se realiza en los sistemas que utilizan estos certificados para autenticación o similar, es decir, un navegador web, aplicaciones móviles, clientes de correo (S / MIME), interlocutores IPSec, .... Hay algunas políticas que están claramente definidas en los estándares y que generalmente se implementan en todos los sistemas que se ocupan de los certificados X509 (es decir, cosas como la caducidad, el uso de claves ...).
Es probable que cualquier política no común y / o específica del proveedor no sea compatible universalmente. Pueden ser compatibles con un caso de uso específico (es decir, autenticación en HTTPS) o en algunos entornos específicos de proveedores, pero no en todas partes.
X509 tiene una forma de marcar las extensiones como se requiere y un cliente que no comprende una extensión específica aún sabe si se requiere o no la comprensión de una extensión. Esto significa que un cliente que cumple con la norma y que no comprende una extensión específica requerida tratará el certificado como no válido. Si la extensión no está marcada como requerida, el cliente simplemente puede ignorar una extensión desconocida.