Hogyan különböztethető meg a valódi éles WRPAC a sandbox tanúsítványtól

A WRPAC — Wallet-Relying Party Access Certificate — minden EU 2025/848 rendelet szerinti technikai integráció középpontjában áll. Nélküle az alkalmazása nem tudja hitelesíteni magát egy EUDI Tárca felé. Rossz fajtával pedig olyan tanúsítványa van, amely ránézésre megfelelő, de nyilvánosan nem ellenőrizhető úgy, hogy bármely felhatalmazott, közzétett szolgáltatóhoz láncolna. Ez a különbség számít — és most, 2026 májusában jobban számít, mint amit a legtöbb szállító el fog mondani.

Miért fontos ez most

Még nincs nyilvános lista a felhatalmazott WRPAC-szolgáltatókról. 2026 májusának végén az eIDAS Dashboard a WRPAC-szolgáltatói listát nem publikáltként mutatja. Ez nem késedelem, nem mulasztás és nem valakinek a hibája — a rendelet 2026. december 24-től alkalmazandó, és az ökoszisztéma még építi azt az infrastruktúrát, amely ezt kiszolgálja. De konkrét, kézzelfogható kockázatot teremt azoknak az ellenőrző feleknek, amelyek piaci ajánlatokat értékelnek.

Mivel a lista nincs nyilvánosan kiszolgálva, egy vásárló — vagy bármely harmadik fél — nem tudja megerősíteni, hogy egy „éles WRPAC”-ként kínált tanúsítvány valóban egy tagállam által felhatalmazott szolgáltatóhoz láncol-e. A lánc vagy egy listázott, felhatalmazott tanúsító hatóságnál végződik, vagy nem. Jelenleg ezt az ellenőrzést nem lehet közzétett forrással szemben végigvinni. Aki ma éles WRPAC-ot hirdet, azt kéri Öntől, hogy fogadja el a szavát egy olyan tényre, amelyet még nem lehet függetlenül ellenőrizni.

Ennek a résnek a jelenlegi állapotát részletesen tárgyaltuk a Még nincs közzétett WRPAC-szolgáltatói lista — mit jelent ez 2026 decembere előtt című cikkben. Ez a poszt arról szól, hogyan kell majd ellenőrizni egy WRPAC-ot, amikor a lista már létezik — és miért leplez le ugyanez a logika minden ma elhangzó állítást.

Az ellenőrzési lánc, amely meghatározza a valódi WRPAC-ot

Az éles WRPAC nem egyszerűen bármilyen X.509 tanúsítvány, amelyet egy magát felhatalmazottnak mondó fél bocsát ki. Három feltételnek kell egyszerre teljesülnie, és mindhárom külön ellenőrizhető.

Először: a tanúsítványnak egy közzétett EU-s vagy nemzeti bizalmi listához kell láncolnia. Az EU 2025/848 rendelet a 7. cikken és a IV. mellékleten keresztül rögzíti a WRPAC technikai formátumát, miközben a 7. cikk (1) bekezdése előírja, hogy minden tagállam legalább egy tanúsító hatóságot hatalmazzon fel WRPAC-ok kibocsátására. Az a tanúsítvány, amely olyan root CA-nál végződik, amely nincs jelen a releváns közzétett bizalmi lista infrastruktúrában, nem kezelhető éles WRPAC-ként, függetlenül attól, mit állít a kibocsátó.

Másodszor: az eIDAS Dashboardnak publikáltként kell jelentenie a WRPAC-szolgáltatói listát. A dashboard publikációs jelzője a hiteles jel arra, hogy a felhatalmazott szolgáltatók listája él és ellenőrizhető. Amíg ez a jelző nem publikált státuszt mutat, a lánc végponttól végpontig nem ellenőrizhető. Erre nincs kerülőút: egy tanúsítvány létezhet, sőt technikailag jól formált is lehet, de a tanúsítvány kibocsátója és egy tagállami felhatalmazás közötti kapcsolat nem erősíthető meg.

Harmadszor: a kibocsátónak tagállam által felhatalmazott szolgáltatónak kell lennie. Az EU 2025/848 rendelet 2. cikkének (11) bekezdése a WRPAC-szolgáltatót olyan természetes vagy jogi személyként határozza meg, akit egy tagállam felhatalmazott arra, hogy WRPAC-okat bocsásson ki ellenőrző feleknek. A 2. cikk (12) bekezdése magát a WRPAC-ot definiálja. A 7. cikk (1) bekezdése szerinti tagállami felhatalmazás a jogi alapja annak, hogy a tanúsítvány egyáltalán megbízható legyen. Az a szolgáltató, amelyet egyetlen tagállam sem hatalmazott fel, kívül esik ezen a definíción, bármilyen önminősítés vagy kereskedelmi állítás mellett is.

A három feltétel egyetlen láncot alkot. Ha bármelyik láncszem megszakad, a tanúsítvány nem kezelhető éles WRPAC-ként.

Hogyan ellenőrizze saját maga

Amikor a szolgáltatói lista megjelenik, az ellenőrzési eljárás egyszerű lesz. Kezdje az eIDAS Dashboarddal, és ellenőrizze a WRPAC-lista publikációs státuszát. A dashboard tagállami bizalmi listaadatokat aggregál; amikor a jelző „not published” állapotról publikáltra vált, ez megerősíti, hogy az infrastruktúra él.

Ezután kérdezze le közvetlenül a WRPAC-szolgáltatói végpontot. Ez a végpont a közzététel aktiválása után a felhatalmazott, kijelölt szolgáltatók listáját fogja kiszolgálni. Azt kell keresnie, hogy a tanúsítványa kibocsátójának CA-ja szerepel-e ezen a listán.

Végül ellenőrizze magát a tanúsítványláncot. Szabványos PKI-eszközökkel — OpenSSL-lel vagy ennek megfelelővel — kövesse végig a láncot a WRPAC-tól az esetleges közteseken át a root CA-ig. Ennek a rootnak meg kell felelnie a közzétett szolgáltatói listában szereplő CA-nak. Ha a lánc bárhol máshol végződik — magán rootnál, listán nem szereplő CA-nál, vagy bárminél, ami nem egy felhatalmazott szolgáltató rootja —, akkor a tanúsítvány nem minősül a rendelet szerinti éles WRPAC-nak.

Dokumentálja ezt az ellenőrzést, és őrizze meg a kimenetet. Amikor a felügyeleti szervek 2026 decembere után elkezdik érvényesíteni a keretrendszert, számítani fog, hogy bizonyítani tudja: átvilágította a WRPAC-forrását.

Figyelmeztető jelek

Szállító, amely éles WRPAC-ot állít a lista közzététele előtt. Ez a központi figyelmeztető jel. Az állítás nem feltétlenül tisztességtelen — lehet, hogy a szolgáltató valóban úgy gondolja, CA-ját később fel fogják hatalmazni —, de ma nem ellenőrizhető. Ilyen alapon vásárolni ellenőrizhetetlen biztosíték elfogadását jelenti. A szabályozási kockázat Önnél, az ellenőrző félnél marad.

Tanúsítvány, amely nem láncol semmilyen közzétett bizalmi listához. Ez PKI-hiba, még mielőtt szabályozási hiba lenne. Egy olyan CA-tól származó tanúsítvány, amely nincs jelen a releváns bizalmi lista infrastruktúrában, nem tudja létrehozni az éles WRPAC-hoz szükséges láncot. Integrációs használat előtt ellenőrizze a láncot.

„Felhatalmazott” állítás ellenőrizhető tagállami forrás nélkül. Kérdezze meg a szállítótól, melyik tagállam hatalmazta fel, és mi a jogalap — nemzeti aktus, miniszteri döntés vagy felügyeleti közlemény —, amely a felhatalmazást létrehozza. Ha nem tud nyilvános, visszakereshető forrásra mutatni, az állítás nem ellenőrizhető. A „tárgyalunk tagállamokkal” és a „várjuk a felhatalmazást” nem ugyanaz, mint a „[tagállam] felhatalmazott minket [jogi aktus] alapján”.

Árazás és csomagolás, amely éles készültséget sugall, bizonyítás nélkül. A sandbox tanúsítványok legitim és hasznos termékek. Akkor válnak problémává, amikor éles WRPAC-ként adják el vagy pozicionálják őket. Ha egy szállító termelési szintű SLA-kkal és termelési szintű árazással csomagol tanúsítványt, de nem tudja alátámasztani a fenti három feltételt, kezelje sandbox tanúsítványként, amíg ellenőrizhetővé nem válik.

Mire valók legitim módon a sandbox tanúsítványok

A sandbox tanúsítványok fontos és legitim célt szolgálnak. A publikáció előtti időszak — a mostani idő és a 2026. decemberi alkalmazási dátum közötti ablak — pontosan az az idő, amikor az ellenőrző feleknek integrálniuk, tesztelniük és minősíteniük kell implementációikat. Ezt bármilyen tanúsítvány-infrastruktúra nélkül elvégezni nem lenne praktikus.

Németország hivatalos EUDI Wallet sandboxa, amelyet a SPRIND 2025 decembere óta működtet, referencia-környezetet biztosít pontosan ilyen integrációs teszteléshez. A France Identité playground hasonló szerepet tölt be a francia tárcaimplementációk számára. Ezek nem kerülőutak; ez az elvárt tesztelési út a termelési infrastruktúra élesedése előtti időszakban.

Egy sandbox tanúsítvány lehetővé teszi, hogy megépítse WRPAC-kérési folyamatait, validálja OpenID4VP-implementációját referencia-tárcaimplementációkkal szemben, tesztelje attribútumkezelési logikáját, és előkészítse regisztrációs dokumentációját — mindezt azelőtt, hogy bárkinek egyetlen éles WRPAC-ot kibocsátottak volna. Ez értékes munka, és az ezt támogató tanúsítvány legitim termék.

A probléma konkrét: a sandbox tanúsítvány éles WRPAC-ként való félrecímkézése. A sandboxkörnyezetben, nem 2. cikk (11) bekezdése alapján felhatalmazott CA által kibocsátott tanúsítvány nem tudja hitelesíteni az alkalmazását egy éles EUDI Tárca felé. Nem is erre tervezték. Sandbox tanúsítványt éles üzemben használni technikai hiba; úgy megvenni, hogy éles szintűnek gondolja, beszerzési hiba. Mindkettő elkerülhető.

A szabály

Ne vásároljon és ne hirdessen jelenlegi tanúsítványt éles WRPAC-ként, hacsak nem láncol közzétett, felhatalmazott szolgáltatóhoz — és ez a lánc nem ellenőrizhető függetlenül a közzétett szolgáltatói listával szemben.

Ez a szabály nem technikai apróság. Ez annak a lényege, amit a rendelet megkövetel. Az EU 2025/848 rendelet 7. cikkének (1) bekezdése a felhatalmazási kötelezettséget a tagállamokra helyezi, míg a 7. cikk és a IV. melléklet meghatározza a WRPAC-kibocsátási követelményeket. Az ellenőrző fél továbbra is viseli annak operatív kockázatát, ha nem konform tanúsítványt használ. Ha a WRPAC nem teljesíti a fent leírt háromfeltételes láncot, a tárcaintegrációnak nincs megfelelőségi szempontból elfogadható hitelesítési mechanizmusa.

Amíg a szolgáltatói lista nincs közzétéve, a helyes álláspont: nincs nyilvánosan ellenőrizhető éles WRPAC-út. Ennek megfelelően tervezzen — használjon sandboxkörnyezeteket integrációs munkára, de ne kezelje a sandbox tanúsítványokat éles eszközként, és ne fogadjon el olyan szállítói éles készültségi állításokat, amelyek nyilvános forrással szemben nem ellenőrizhetők.

Mit kell figyelni

Két esemény változtatja meg a képet.

Az eIDAS Dashboard publikációs jelzője. Amikor a dashboard a WRPAC-listát nem publikáltról publikáltra váltja, az ellenőrzési lánc első fele végrehajthatóvá válik. Állítson be ellenőrzést az eIDAS Dashboardra és a szolgáltatói végpontra. Ezek a hiteles jelek, nem a szállítói bejelentések.

Egy tagállam megnevez egy felhatalmazott WRPAC-kibocsátó CA-t. A 2. cikk (11) bekezdése szerinti felhatalmazás tagállami döntésből ered. Amikor bármely tagállam nyilvánosan kijelöl egy tanúsító hatóságot vagy más szolgáltatót WRPAC-kibocsátásra, ez az a pillanat, amikor a lánc második fele ellenőrizhetővé válik. Figyelje a nemzeti felügyeleti szervek bejelentéseit és a nemzeti bizalmi lista frissítéseit — ezek azok az upstream források, amelyek az eIDAS Dashboardot és a szolgáltatói végpontot táplálják.

E cikk írásakor egyik esemény sem történt meg. Amikor mindkettő megtörténik, az ebben a posztban leírt ellenőrzési eljárás végrehajthatóvá válik. Addig ez szolgál keretként minden Önnek kínált tanúsítvány értékeléséhez — és ahhoz, hogy pontosan értse, mi hiányzik bármely piaci éles készültségi állításból.

Kapcsolódó cikkek

Még egyetlen EU-tagállamnak sincs közzétett WRPAC-szolgáltatói listája — mit jelent ez a 2026. decemberi határidőre

2026 májusának végén a hivatalos uniós megbízható szervezeti listák még nincsenek közzétéve: az eIDAS Dashboard szerint a WRPAC státusza nem publikált, a szolgáltatói lista pedig nyilvánosan nem érhető el. Ez nem hiba, hanem a szabályozási ütemezés következménye — és közvetlenül érinti a 2026. decemberi tervezést.

8 perc olvasás

eIDAS 2.0 ellenőrzőfél-regisztráció: teljes útmutató

Minden, amit tudnia kell az ellenőrző félként való regisztrációról az eIDAS 2024/1183 rendelet 5b. cikke alapján.

12 perc olvasás