Compliance

Woran Sie ein echtes Produktiv-WRPAC von einem Sandbox-Zertifikat unterscheiden

Weil die offizielle WRPAC-Anbieterliste noch nicht veröffentlicht ist, kann heute nichts, was als Produktiv-WRPAC verkauft wird, öffentlich als Kette zu einem mandatierten Anbieter verifiziert werden. Das ist die Verifikationskette, die ein echtes WRPAC definiert - samt Warnsignalen und dem legitimen Zweck von Sandbox-Zertifikaten.

eIDAS Pro Team
28. Mai 2026
7 Min. Lesezeit
Woran Sie ein echtes Produktiv-WRPAC von einem Sandbox-Zertifikat unterscheiden

Woran Sie ein echtes Produktiv-WRPAC von einem Sandbox-Zertifikat unterscheiden

Das WRPAC - das Wallet-Relying Party Access Certificate - steht im Zentrum jeder technischen Integration unter der Verordnung (EU) 2025/848. Ohne WRPAC kann Ihre Anwendung sich gegenüber einer EUDI-Wallet nicht authentifizieren. Mit der falschen Art Zertifikat haben Sie ein Zertifikat, das so aussieht, als gehöre es dorthin, aber nicht öffentlich als Kette zu einem mandatierten, veröffentlichten Anbieter verifiziert werden kann. Diese Unterscheidung ist wichtig - und im Mai 2026 ist sie wichtiger, als die meisten Anbieter Ihnen sagen werden.

Warum das jetzt wichtig ist

Es gibt noch keine öffentliche Liste autorisierter WRPAC-Anbieter. Stand Ende Mai 2026 meldet das eIDAS-Dashboard, dass die WRPAC-Anbieterliste nicht veröffentlicht ist. Das ist keine Verzögerung, kein Versehen und kein Versagen irgendjemandes - die Verordnung gilt ab dem 24. Dezember 2026, und das Ökosystem baut noch die Infrastruktur auf, die sie tragen wird. Für Relying Parties, die Angebote am Markt bewerten, entsteht dadurch aber ein konkretes Risiko.

Weil die Liste nicht öffentlich ausgeliefert wird, gibt es für einen Käufer - oder irgendeinen Dritten - keine Möglichkeit zu bestätigen, dass ein als "Produktiv-WRPAC" angebotenes Zertifikat tatsächlich auf einen durch einen Mitgliedstaat mandatierten Anbieter zurückführt. Die Kette endet entweder bei einer gelisteten, mandatierten Zertifizierungsstelle oder sie tut es nicht. Gegenwärtig kann diese Prüfung nicht gegen eine veröffentlichte Quelle abgeschlossen werden. Wer heute ein Produktiv-WRPAC vermarktet, bittet Sie, eine Behauptung zu akzeptieren, die noch nicht unabhängig verifiziert werden kann.

Den aktuellen Stand dieser Lücke haben wir ausführlich in Noch keine veröffentlichte WRPAC-Anbieterliste - was das vor Dezember 2026 bedeutet behandelt. In diesem Beitrag geht es darum, wie Sie ein WRPAC verifizieren werden, sobald diese Liste existiert - und warum dieselbe Logik jeden heute erhobenen Anspruch offenlegt.

Die Verifikationskette, die ein echtes WRPAC definiert

Ein Produktiv-WRPAC ist nicht einfach irgendein X.509-Zertifikat, das von einer Partei ausgestellt wurde, die behauptet, autorisiert zu sein. Drei Bedingungen müssen gleichzeitig erfüllt sein, und jede ist unabhängig prüfbar.

Erstens: Das Zertifikat muss zu einer veröffentlichten EU- oder nationalen Vertrauensliste ketten. Die Verordnung (EU) 2025/848 legt in Artikel 7 und Anhang IV das technische Format des WRPAC fest, während Artikel 7 Absatz 1 jeden Mitgliedstaat verpflichtet, mindestens eine Zertifizierungsstelle zur Ausstellung von WRPACs zu autorisieren. Ein Zertifikat, das bei einer Root-CA endet, die in der relevanten veröffentlichten Vertrauenslisteninfrastruktur nicht enthalten ist, kann unabhängig von den Aussagen des Ausstellers nicht als Produktiv-WRPAC behandelt werden.

Zweitens: Das eIDAS-Dashboard muss die WRPAC-Anbieterliste als veröffentlicht melden. Der Veröffentlichungsindikator im Dashboard ist das maßgebliche Signal, dass die Liste mandatierter Anbieter live und verifizierbar ist. Solange dieser Indikator nicht auf veröffentlicht steht, kann die Kette nicht Ende zu Ende verifiziert werden. Dafür gibt es keinen Workaround: Ein Zertifikat kann existieren und sogar technisch sauber geformt sein, aber die Verbindung zwischen seinem Aussteller und einem Mandat eines Mitgliedstaats kann nicht bestätigt werden.

Drittens: Der Aussteller muss ein von einem Mitgliedstaat mandatierter Anbieter sein. Artikel 2 Absatz 11 der Verordnung (EU) 2025/848 definiert einen Anbieter von WRPACs als natürliche oder juristische Person, die von einem Mitgliedstaat mit der Ausstellung von WRPACs für Relying Parties mandatiert wurde. Artikel 2 Absatz 12 definiert das WRPAC selbst. Die Autorisierung des Mitgliedstaats nach Artikel 7 Absatz 1 ist die rechtliche Grundlage dafür, warum dem Zertifikat überhaupt vertraut werden kann. Ein Anbieter, der von keinem Mitgliedstaat mandatiert wurde, fällt nicht unter diese Definition - unabhängig von Selbstzertifizierung oder kommerzieller Behauptung.

Alle drei Bedingungen bilden eine einzige Kette. Reißt ein Glied, kann das Zertifikat nicht als Produktiv-WRPAC behandelt werden.

Wie Sie es selbst prüfen

Wenn die Anbieterliste veröffentlicht ist, ist das Prüfverfahren klar. Starten Sie im eIDAS-Dashboard und prüfen Sie den Veröffentlichungsstatus der WRPAC-Liste. Das Dashboard aggregiert Vertrauenslistendaten aus den Mitgliedstaaten; wenn der Indikator von "nicht veröffentlicht" auf veröffentlicht wechselt, haben Sie die Bestätigung, dass die Infrastruktur live ist.

Fragen Sie anschließend den WRPAC-Anbieter-Endpunkt direkt ab. Dieser Endpunkt wird die Liste autorisierter, mandatierter Anbieter ausliefern, sobald die Veröffentlichung aktiv ist. Sie suchen danach, dass die CA Ihres Zertifikatsausstellers in dieser Liste erscheint.

Prüfen Sie zuletzt die Zertifikatskette selbst. Mit Standard-PKI-Werkzeugen wie OpenSSL oder einem Äquivalent verfolgen Sie die Kette von Ihrem WRPAC über etwaige Zwischenzertifikate bis zur Root-CA. Diese Root muss einer CA in der veröffentlichten Anbieterliste entsprechen. Wenn die Kette irgendwo anders endet - bei einer privaten Root, bei einer CA, die nicht in der Liste steht, oder bei etwas anderem als der Root eines mandatierten Anbieters -, qualifiziert sich das Zertifikat unter der Verordnung nicht als Produktiv-WRPAC.

Dokumentieren Sie diese Prüfung und bewahren Sie die Ausgabe auf. Wenn Aufsichtsbehörden den Rahmen nach Dezember 2026 durchsetzen, wird es wichtig sein, zeigen zu können, dass Sie Due Diligence zu Ihrer WRPAC-Quelle durchgeführt haben.

Warnsignale

Ein Anbieter behauptet ein Produktiv-WRPAC, bevor die Liste veröffentlicht ist. Das ist das zentrale Warnsignal. Die Behauptung muss nicht unehrlich sein - der Anbieter kann wirklich glauben, dass seine CA später mandatiert wird -, aber sie ist heute nicht verifizierbar. Auf dieser Grundlage zu kaufen bedeutet, eine unverifizierbare Zusicherung zu akzeptieren. Das regulatorische Risiko liegt bei Ihnen, der Relying Party.

Ein Zertifikat, das zu keiner veröffentlichten Vertrauensliste kettet. Das ist ein PKI-Fehler, bevor es ein regulatorischer Fehler ist. Ein Zertifikat einer CA ohne Präsenz in der relevanten Vertrauenslisteninfrastruktur kann die für ein Produktiv-WRPAC erforderliche Kette nicht herstellen. Prüfen Sie die Kette, bevor Sie ein Zertifikat für Integrationszwecke akzeptieren.

"Mandatiert" wird behauptet, ohne dass es eine überprüfbare Quelle eines Mitgliedstaats gibt. Fragen Sie jeden Anbieter, welcher Mitgliedstaat ihn mandatiert hat und welche Rechtsgrundlage - nationaler Rechtsakt, ministerielle Entscheidung oder Aufsichtsmitteilung - das Mandat begründet. Wenn er nicht auf eine öffentliche, nachvollziehbare Quelle verweisen kann, ist die Behauptung nicht verifizierbar. "Wir sind im Gespräch mit Mitgliedstaaten" und "wir erwarten, mandatiert zu werden" ist nicht dasselbe wie "wir sind von [Mitgliedstaat] auf Grundlage von [Rechtsakt] mandatiert".

Preise und Paketierung, die Produktionsreife nahelegen, ohne sie zu belegen. Sandbox-Zertifikate sind legitime und nützliche Produkte. Problematisch werden sie nur, wenn sie als Produktiv-WRPACs verkauft oder positioniert werden. Wenn ein Anbieter ein Zertifikat mit Service-Level-Agreements und Preisen auf Produktionsniveau bündelt, aber die drei Bedingungen oben nicht belegen kann, behandeln Sie es bis zur Verifikation als Sandbox-Zertifikat.

Wofür Sandbox-Zertifikate legitim sind

Sandbox-Zertifikate erfüllen einen wichtigen und legitimen Zweck. Das Vorveröffentlichungsfenster - der Zeitraum zwischen heute und dem Anwendungsdatum im Dezember 2026 - ist genau die Phase, in der Relying Parties ihre Implementierungen integrieren, testen und qualifizieren sollten. Diese Arbeit ganz ohne Zertifikatsinfrastruktur zu erledigen, wäre unpraktisch.

Deutschlands offizielle EUDI-Wallet-Sandbox, betrieben von SPRIND seit Dezember 2025, bietet eine Referenzumgebung genau für diese Art von Integrationstests. Der France-Identité-Playground erfüllt eine ähnliche Funktion für französische Wallet-Implementierungen. Das sind keine Workarounds; sie sind der vorgesehene Testpfad in der Zeit vor dem Livegang der Produktivinfrastruktur.

Ein Sandbox-Zertifikat lässt Sie Ihre WRPAC-Request-Flows bauen, Ihre OpenID4VP-Implementierung gegen Wallet-Referenzimplementierungen validieren, Ihre Attributverarbeitungslogik testen und Ihre Registrierungsunterlagen vorbereiten - alles, bevor irgendein Produktiv-WRPAC an irgendjemanden ausgegeben wurde. Das ist wertvolle Arbeit, und das Zertifikat, das sie unterstützt, ist ein legitimes Produkt.

Das Problem ist spezifisch: ein Sandbox-Zertifikat, das als Produktiv-WRPAC falsch bezeichnet wird. Ein Zertifikat, das in einer Sandbox-Umgebung von einer CA ausgestellt wurde, die nicht nach Artikel 2 Absatz 11 mandatiert ist, kann Ihre Anwendung nicht gegenüber einer produktiven EUDI-Wallet authentifizieren. Es ist dafür nicht konzipiert. Ein Sandbox-Zertifikat in Produktion zu verwenden, ist ein technischer Fehler; eines zu kaufen, weil man es für produktionsreif hält, ist ein Beschaffungsfehler. Beides ist vermeidbar.

Die Regel

Kaufen oder vermarkten Sie ein aktuelles Zertifikat nicht als Produktiv-WRPAC, solange es nicht zu einem veröffentlichten, mandatierten Anbieter kettet - und solange diese Kette nicht unabhängig gegen die veröffentlichte Anbieterliste verifiziert werden kann.

Diese Regel ist keine technische Kleinigkeit. Sie ist der Kern dessen, was die Verordnung verlangt. Artikel 7 Absatz 1 der Verordnung (EU) 2025/848 legt die Autorisierungspflicht bei den Mitgliedstaaten, während Artikel 7 und Anhang IV die Anforderungen an die WRPAC-Ausstellung definieren. Die Relying Party trägt weiterhin das operative Risiko, ein nicht konformes Zertifikat zu verwenden. Wenn Ihr WRPAC die oben beschriebene dreiteilige Kette nicht erfüllt, verfügt Ihre Wallet-Integration über keinen konformen Authentifizierungsmechanismus.

Bis die Anbieterliste veröffentlicht ist, lautet die korrekte Position: Es gibt keinen öffentlichen/verifizierbaren Produktiv-WRPAC-Pfad. Planen Sie entsprechend - nutzen Sie Sandbox-Umgebungen für Integrationsarbeit, behandeln Sie Sandbox-Zertifikate aber nicht als Produktivassets, und akzeptieren Sie keine Anbieterbehauptungen zur Produktionsreife, die nicht gegen eine öffentliche Quelle verifiziert werden können.

Worauf Sie achten sollten

Zwei Ereignisse werden das Bild ändern.

Der Veröffentlichungsindikator im eIDAS-Dashboard. Wenn das Dashboard nicht mehr meldet, dass die WRPAC-Liste nicht veröffentlicht ist, sondern sie als veröffentlicht ausweist, wird die erste Hälfte der Verifikationskette möglich. Richten Sie eine Prüfung auf das eIDAS-Dashboard und den Anbieter-Endpunkt ein. Das sind die maßgeblichen Signale, nicht Anbieterankündigungen.

Ein Mitgliedstaat benennt eine mandatierte WRPAC-ausstellende Zertifizierungsstelle. Das Mandat nach Artikel 2 Absatz 11 folgt aus einer Entscheidung eines Mitgliedstaats. Wenn irgendein Mitgliedstaat öffentlich eine Zertifizierungsstelle oder einen anderen Anbieter als zur Ausstellung von WRPACs mandatiert benennt, wird die zweite Hälfte der Kette prüfbar. Beobachten Sie Ankündigungen nationaler Aufsichtsstellen und Aktualisierungen nationaler Vertrauenslisten - das sind die vorgelagerten Quellen, die das eIDAS-Dashboard und den Anbieter-Endpunkt speisen.

Keines der beiden Ereignisse ist zum Zeitpunkt der Veröffentlichung eingetreten. Wenn beide eingetreten sind, wird das in diesem Beitrag beschriebene Prüfverfahren ausführbar. Bis dahin dient es als Rahmen, um jedes Zertifikat zu bewerten, das Ihnen angeboten wird - und um exakt zu verstehen, was jeder Behauptung von Produktionsreife fehlt, der Sie im Markt begegnen.

Verwandte Artikel

Noch kein EU-Land hat eine veröffentlichte WRPAC-Anbieterliste - was das für Ihre Frist im Dezember 2026 bedeutet

Stand Ende Mai 2026 sind die offiziellen EU-Listen vertrauenswürdiger Entitäten nicht veröffentlicht: Das eIDAS-Dashboard zeigt WRPAC als unveröffentlicht, und die Anbieterliste ist nicht öffentlich abrufbar. Warum das so vorgesehen ist - und was es für Ihre Planung bis Dezember 2026 ändert.

8 Min. Lesezeit

eIDAS-2.0-Registrierung als Relying Party: Der vollständige Leitfaden

Alles, was Sie über die Registrierung als Relying Party nach Artikel 5b der eIDAS-Verordnung 2024/1183 wissen müssen.

12 Min. Lesezeit

Tags

WRPACComplianceVertrauenslisteRelying PartyDue DiligenceeIDAS 2.0

Diesen Artikel teilen

Helfen Sie anderen, mehr über eIDAS-Verifizierung zu erfahren

Verwandte Artikel

Compliance

EUDI-Wallet-Readiness-Check für Händler: 5 Fragen

Fünf Fragen, die zeigen, ob Sie Anfang 2027 produktiv starten können — oder das erste Quartal mit Integrations­schulden verlieren. Machen Sie den Selbsttest.

6 Min. Lesezeit
Compliance

Irlands EUDI-Wallet-Einführung und die Altersnachweis-Frage, die ganz Europa beobachtet

Irland liegt für einen Wallet-Start Ende 2026 im Plan und hat den öffentlichen Opt-in-Test geöffnet. Die Altersnachweis-Debatte, die das Land prägt, wird für jede altersbeschränkte Branche in der EU Maßstäbe setzen.

13 Min. Lesezeit
Compliance

Durchführungsverordnung 2026/798: EUDI-Wallet-Einschreibung erklärt

Die neue Durchführungsverordnung zur EUDI-Wallet-Einschreibung erklärt. Was 'substantial + zusätzliche Verfahren = high' bedeutet und was Verifier erwarten sollten.

10 Min. Lesezeit