HAIP 1.0 OID4VP Verifier — Konformitäts-Selbsttest

Unabhängiger Nachweis, dass der EU-Wallet-Verifier von CodeB das Zertifizierungsprofil OpenID Foundation OID4VP-1.0-FINAL + HAIP-1.0-FINAL Verifier (Alpha) besteht, ausgeführt am 2026-07-19 durch den von der OIDF gehosteten Konformitätsharness.

Testplan abgeschlossen 2026-07-19
9 Tests bestanden · 0 Fehler · 0 Warnungen
9
Tests gesamt
9
bestanden
0
Fehler
0
Warnungen
Selbsttest-Ergebnis auf dem OIDF-Alpha-Profil, nicht die OpenID Certified™-Marke. Ergebnisse erstellt durch die OpenID-Foundation-Konformitätssuite unter certification.openid.net. Das Profil OID4VP-1.0-FINAL + HAIP-1.0-FINAL Verifier befindet sich derzeit in Alpha-Selbstzertifizierung. Die formale Listung auf der Seite der zertifizierten OpenID-Implementierungen folgt dem OIDF-Einreichungsprozess; diese Seite belegt, dass genau der EU-Wallet-Verifier, der in jeder CodeB-Tenant-Deployment ausgeliefert wird, die Alpha-Suite fehler- und warnungsfrei durchläuft. Die formale Einreichung steht auf der Roadmap.

Übersicht

BereichWas geprüft wirdErgebnis
Happy PathEnd-to-End DCQL-Anfrage, JAR, Wallet-Antwort, JWE-Entschlüsselung, SD-JWT-VC-Parsing, KB-JWT-Verifikation, Claim-MappingBestanden
Minimales cnf.jwkAkzeptiert Holder-Binding-JWKs, die nur Pflichtfelder (kty/crv/x/y) tragen, ohne optionale MetadatenBestanden
Signatur-Integrität des AusstellersLehnt VP ab, deren SD-JWT-Aussteller-Signatur manipuliert wurdeBestanden
Key-Binding-JWT-SignaturLehnt VP ab, deren KB-JWT-Signatur gegen den cnf-Schlüssel des Credentials nicht verifizierbar istBestanden
Integrität der Selective DisclosuresLehnt VP ab, wo der sd_hash im KB-JWT nicht zu den präsentierten SD-JWT-Bytes passtBestanden
Nonce-Bindung im KB-JWTLehnt VP ab, wo der KB-JWT nonce nicht mit dem Authorization-Request-Nonce übereinstimmtBestanden
Audience-Bindung im KB-JWTLehnt VP ab, wo aud im KB-JWT nicht mit der Verifier-Client-Identität übereinstimmtBestanden
KB-JWT-Zeitversatz (Vergangenheit)Lehnt VP ab, deren KB-JWT iat ausserhalb des zulässigen Freshness-Fensters liegt (1 Jahr in der Vergangenheit)Bestanden
KB-JWT-Zeitversatz (Zukunft)Lehnt VP ab, deren KB-JWT iat ausserhalb des zulässigen Freshness-Fensters liegt (1 Jahr in der Zukunft)Bestanden

Nachweise

Drei unabhängige Nachweisspuren, jede einzelne genügt, um den Test auf eigener Infrastruktur zu reproduzieren.

Live-OIDF-Plan (schreibgeschützt)
certification.openid.net » Plan Wa46KCPHMZ5EV
Signierter privater Link, gültig bis 2029-04-14. Öffnet die von der OIDF gehostete Plandetail-Ansicht jedes einzelnen Testlaufs.
Zertifizierungspaket (ZIP)
oid4vp-1final-verifier-haip-test-plan · 441 KB
OIDF-generiertes Paket: Plan-Metadaten, JSON- und HTML-Logs je Test, JWS-Signaturen über jedes Log für manipulationssichere Prüfung.
EU-Wallet-Verifier-Referenz
Endpoints, Algorithmen, Kryptographie
Was der Verifier bereitstellt: DCQL-Query-Builder, JAR-Anfragensignatur, direct_post.jwt-Behandlung, Per-Tenant X.509-Kette, Verified-Claims-Datei.

Testaufschlüsselung — 10 Tests, 9 bestanden + 1 gültiger Skip

Jeder Test endete mit Harness-Status FINISHED. Neun ergaben PASSED; einer ergab SKIPPED, weil der Sub-Test auf ein Feature (request_uri_method=post) zielt, das unsere gewählte Variante nicht anbietet — der Harness meldet dies korrekt als "nicht anwendbar" und nicht als Fehler.

Happy Path (2)

TestnameErgebnis
oid4vp-1final-verifier-happy-flowBestanden
oid4vp-1final-verifier-minimal-cnf-jwkBestanden

Kryptographische Integrität (3)

TestnameErgebnis
oid4vp-1final-verifier-invalid-credential-signatureBestanden
oid4vp-1final-verifier-invalid-kb-jwt-signatureBestanden
oid4vp-1final-verifier-invalid-sd-hashBestanden

Session-Bindung (2)

TestnameErgebnis
oid4vp-1final-verifier-invalid-kb-jwt-nonceBestanden
oid4vp-1final-verifier-invalid-kb-jwt-audBestanden

Freshness (2)

TestnameErgebnis
oid4vp-1final-verifier-kb-jwt-iat-in-pastBestanden
oid4vp-1final-verifier-kb-jwt-iat-in-futureBestanden

Reproduzieren

  1. Kostenloses Konto anlegen auf certification.openid.net, einen Plan vom Typ „OID4VP-1.0-FINAL + HAIP-1.0-FINAL Verifier“ (Alpha) mit Variante credential_format=sd_jwt_vc und response_mode=direct_post.jwt erstellen.
  2. Den server-Abschnitt des Plans mit den Verifier-Metadaten Ihres CodeB-Tenants konfigurieren: Authorization-Endpoint-URL, Per-Tenant X.509-Leaf-Public-Key und gewählter client_id_prefix (sowohl x509_hash als auch x509_san_dns werden unterstützt).
  3. Alle 10 Sub-Tests ausführen. Der Verifier steuert jeden End-to-End von der Wallet-Auswahl bis zur entschlüsselten Claim-Lieferung; keine manuelle Interaktion nötig.
  4. Zertifizierungspaket-ZIP von der Plandetail-Seite herunterladen und die results-Arrays je Test gegen das oben verlinkte JSON-Bundle abgleichen.

Roadmap zur OpenID Certified™-Marke

Das Bestehen der Alpha-Konformitätssuite ist Schritt eins. Der vollständige Weg zur Listung auf der Seite der zertifizierten OpenID-Foundation-Implementierungen:

  1. Erledigt — OID4VP-1.0-FINAL + HAIP-1.0-FINAL Verifier-Alpha-Suite, sd_jwt_vc + direct_post.jwt-Variante, fehler- und warnungsfreier Durchlauf im OIDF-Harness.
  2. Nächstens — dieselbe Suite gegen die weiteren vom Profil erlaubten Varianten fahren (request_uri_method=post, mDL-Credential-Format), sobald der OIDF-Harness über Alpha hinausgeht, und jeden Plan archivieren.
  3. Dann — die Plan-IDs + OIDF-Zertifizierungsgebühr an die OpenID Foundation einreichen über openid.net/certification/instructions/. Die Listung erscheint typischerweise innerhalb von ein bis zwei Wochen nach Einreichung.
  4. Ebenfalls geplant — OpenID4VCI 1.0 Issuer-Zertifizierung für die Credential-Issuance-Seite (separater Track, sobald OIDF das entsprechende Issuer-Konformitätsprofil veröffentlicht).

Details zum Testlauf

ZertifizierungsprofilOID4VP-1.0-FINAL + HAIP-1.0-FINAL Verifier (Alpha)
Plannameoid4vp-1final-verifier-haip-test-plan
Plan-IDWa46KCPHMZ5EV
Variantecredential_format=sd_jwt_vc, response_mode=direct_post.jwt, client_id_prefix=x509_hash, request_method=request_uri_signed, vp_profile=haip
Plan gestartet2026-07-18 22:23:21 UTC
Plan abgeschlossen2026-07-19
Tests10 gesamt — 9 PASSED, 1 SKIPPED (Variante nicht anwendbar)
Fehler0
Warnungen0
Getesteter VerifierCodeB EU-Wallet-Verifier — derselbe Codepfad, der in jeder CodeB-Tenant-Deployment ausgeliefert wird, läuft zum Testzeitpunkt auf Produktivinfrastruktur

Zugehörige Spezifikationen

Letzte Aktualisierung 2026-07-19. Zugehörige Seiten: HAIP-Implementierungsnotizen · EU-Wallet-Verifier-Referenz · OIDC Basic OP Konformität · API-Referenz · English