Basis-Rolle als Identitätsanbieter. Jeder wallet-basierte Ablauf setzt auf einem sauberen OP auf. Abgedeckt sind Discovery, JWKS, /authorize, /token, /userinfo, PKCE, Refresh-Rotation, Code-Reuse-Invalidierung, prompt=none / max_age / id_token_hint sowie OIDC-Core-6.1-Request-Object-Handling.
Vollständige Testergebnisse, Nachweispaket, privater OIDF-Planlink →OpenID Foundation Konformitäts-Fahrplan
Öffentliche Nachweiskette für das OpenID-Foundation-Selbstzertifizierungsprogramm von CodeB Sovereign Communications. Jeder Meilenstein verlinkt auf die erzeugten Artefakte. Termine sind Ziele, keine Versprechen — der Fahrplan verschiebt sich, wenn Standards sich bewegen.
Meilensteine
Das Kernprotokoll, das jede wallet-basierte Anmeldung spricht. Die Zertifizierung beweist, dass unser Verifier-Substrat korrekt arbeitet bei:
- Signierten Authorization Requests (JAR),
request_uri-Auslieferung,x509_san_dns- undx509_hash-Client-Identifier-Prefixes - DCQL-Credential-Query-Kodierung, Presentation-Definition-Verhandlung
- JWE-verschlüsselten Responses (ECDH-ES + A128GCM),
direct_post.jwt-Response-Mode - SD-JWT-VC-Selective-Disclosure mit KB-JWT-Holder-Binding, Nonce- und transaction_data-Erzwingung
Läuft gegen dieselben Verifier-Endpunkte, die intern schon von age-verify, sign-in-widget und OIDC-Clients-Presentation-Requests genutzt werden. Bei den meisten Tests erwarten wir grün beim ersten Lauf; der Wert der Suite besteht darin zu beweisen, dass jedes Feld gemäß Spec ausgegeben wird — nicht gemäß Gedächtnis der Implementierer.
Das EU-Wallet-spezifische Profil, das OID4VP auf eine einzige Interop-Menge einschränkt. Weil jedes nationale Wallet-Schema HAIP folgt, scheitern Verifier, die nur generisches OID4VP bestehen, an echten Wallets. HAIP legt fest:
- ES256 als einzigen Signaturalgorithmus, keine Verhandlung
- SD-JWT VC als Credential-Format (kein mDoc im Web-Verifier-Profil)
- Client-Identifier-Prefixes beschränkt auf
x509_san_dnsundx509_hash - KB-JWT mit Nonce-Binding zwingend bei jeder Presentation
- Vertrauenskette gewurzelt in nationalen EU-Listen vertrauenswürdiger Listen (LOTL)
Das ergänzende Protokoll — anstatt Credentials von einem Wallet zu akzeptieren, stellt dieses welche aus. Macht aus einem CodeB-Tenant einen operativen Credential-Issuer für Mitarbeiterausweise, Onboarding-Tokens, Altersnachweise oder beliebige domänenspezifische SD-JWT VCs. Die Zertifizierung ergänzt die Verifier-Story um eine volle Issuer-Story: eine Plattform, beide Richtungen.
Steht nicht auf dem kurzfristigen Pfad. FAPI ist das Profil, das Banken und PSD2-Open-Banking-Clients verlangen; die Aufnahme bedeutet signierte Request-Objekte überall, verpflichtender PAR, mTLS oder private_key_jwt-Client-Authentifizierung und härtere Replay-Abwehr. Wir machen es, wenn ein Deal die Engineering-Kosten rechtfertigt; ansonsten bleibt es geparkt.
Warum diese Reihenfolge
HAIP ist ein Profil, das strikte Einschränkungen auf OID4VP legt. Zuerst die OID4VP-Suite zu laufen isoliert Basisprotokoll-Probleme von HAIP-spezifischen Regeln — zwei kleine Debug-Zyklen schlagen einen großen. Und Basic OP musste vor beiden Verifier-Profilen landen, weil beide OIDC-Discovery, JWKS-Handling und Token-Endpunkt-Semantik wiederverwenden.
OpenID4VCI läuft parallel zu den Verifier-Profilen — die Tender-Fläche (EUDI-Wallet-Akzeptanz) ist verifier-zentrisch, aber die Ausstellung ist eine natürliche Erweiterung desselben Substrats und wir landen alle drei Selbsttests gemeinsam bis zum 14. August 2026. Das ergibt eine datierte Nachweiskette, die Akzeptanz und Ausstellung von derselben Plattform aus abdeckt.
Wie Sie den Fortschritt unabhängig prüfen
Jeder abgeschlossene Meilenstein verlinkt auf:
- eine signierte, read-only OIDF-Plan-URL, die jeden Testlauf und jeden Log-Eintrag zeigt;
- ein JWS-signiertes Nachweis-ZIP-Bündel, das von dieser Website herunterladbar ist;
- ein Schritt-für-Schritt-Rezept, wie Sie den Lauf gegen Ihren eigenen CodeB-Tenant (oder einen beliebigen spec-konformen OIDC-Provider) reproduzieren.
Nichts hier muss auf Vertrauen genommen werden. Wenn eine Aussage auf dieser Seite jemals ihren Nachweislink verliert, ist das ein Bug — schreiben Sie dem CodeB-Team und wir korrigieren es.
Der größere Kontext
Unter eIDAS 2.0 (Verordnung (EU) 2024/1183, Artikel 5f) ist jedes regulierte EU-Privatunternehmen ab Dezember 2027 gesetzlich verpflichtet, die EU-Digital-Identity-Wallet als Kundenanmeldung zu akzeptieren. HAIP ist das Interop-Profil, das diese Akzeptanz mit echten Wallets funktionieren lässt. Der Fahrplan oben zeigt, wie „bereit“ auf der Anbieterseite aussieht — datiert und nachgewiesen.
Letzte Aktualisierung 2026-07-18. Verwandte Seiten: Basic-OP-Ergebnisse · HAIP-Implementierungshinweise · OIDC-OP-Funktionen · EU-Wallet-Verifier · API-Referenz