Nejde vysloveně o "critical", ta část je zrovna celkem jednoduchá.
Neexistuje ale jediný TLS klient, který by plně nebo alespoň korektně implementoval RFC 5280. Jenom k path validation je další RFC 4158, které si opět různé implementace vykládájí různě.
MS CryptoAPI dělá třeba "AIA chasing" kdy si stáhne odněkud certifikáty CA uvedené v Authority Information Access, nahradí nimi původní certifikáty v řetězci - a tam třeba můžou klidně být úplně jiné extensions.
Hledání cesty v grafu při validaci certifikátů může klidně vrátit pro jeden certificate chain poslaný od serveru třeba 16 různých možných cest (některé jsou důsledkem toho AIA chasing, jiné důsledkem cross-certification, možných příčin je dost).
Dovolím si tvrdit, že neexistuje nikdo, kdo dokáže předvídat a ošetřit všechny případy v kódu a to ani kdyby TLS klienti implementovali RFC přesně (což se nikdy nestane).