[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2015-02-22 15:44:10 +09:00 版) <https://tools.ietf.org/html/rfc5280#section-4.2.1.3>

[2] 証明書や CRL のデジタル署名の検証につかうCA証明書は、 含めなければなりません >>1。

[3] critical とするべきです >>1。

[4] CA証明書は keyCertSign と cRLSign を指定することが多いようです。 それに加えて digitalSignature を指定することもあるようです。

[5] EE証明書は digitalSignature と keyEncipherment を指定することが多いようです。