Os Requisitos de linha de base do Fórum da CA / Navegador são bem rigorosos sobre a promoção de extendedKeyUsage valores em um certificado que não são padrão. Embora não seja completamente proibido, o texto é tal que uma CA normalmente desejará evitar o incômodo (consulte a seção 7.1.2.4).
Alguns Root Stores (Microsoft) até exigem que as CAs declarem explicitamente todos os valores possíveis de EKU antecipadamente, que um certificado raiz ou intermediário possa assinar.