Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).
Размер файла СОС должен быть не более 250 Кбайт.
Для любого текста, используемого в СОС, разрешается использовать набор символов из приложения 10.
Каждый СОС должен содержать следующие атрибуты и расширения:
1. Версия (version) - версия должна быть 2.
2. Издатель (issuer) - данные из поля субъект СКП издателя.
3. Дата издания СОС (thisUpdate).
4. Дата издания следующего СОС (nextUpdate).
5. Алгоритм подписи (signature) - должен содержать идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3 в соответствии с RFC4491).
6. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) - идентификатор ключа центра сертификатов - должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.
Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:
- authorityCertIssuer - DN Субъекта из СКП Издателя.
- authorityCertSerialNumber - Серийный номер из СКП издателя.
7. Номер СОС cRLNumber (OID.2.5.29.20) - порядковый номер, начинающийся с 1 и увеличивающийся каждый раз на 1 при выпуске нового СОС. Допускается формирование значения номера СОС и дельта СОС выполнять по правилу, описанному в rfc 5280: каждый последующий номер должен быть больше предыдущего, и длина номера должна быть не более 160 бит.
8. Индикатор дельты СОС deltaCRLIndicator (OID.2.5.29.27) критическое расширение - если в СОС присутствует это расширение, то СОС считается дельтой. Должен содержать номер равный или меньший, чем номер основного СОС из расширения cRLNumber.
Остальные расширения могут содержать любые данные, сформированные в соответствии с рекомендациями IETF RFC и ITU-T.