Egy verifier, amely elfogad egy életkor-igazoló tanúsítványt, mert az aláírása jól formált, a munka felét végezte el, és kihagyta a fontos felét. Egy érvényes aláírás csak azt bizonyítja, hogy a credentialt valamilyen kulccsal írták alá. Semmit nem mond arról, hogy az a kulcs egy olyan kibocsátóé-e, amelyben az EU ténylegesen megbízik az életkor tanúsítását illetően. Ennek a résnek a bezárása az Age Verification Trusted List feladata, és a verifier-útmutató egyértelmű: minden életkori tanúsítványt validálnod kell vele szemben, mielőtt hozzáférést adsz.
Ez az a lépés, amelyet a csapatok a leggyakrabban kihagynak — és amelyről egy auditor a legmegbízhatóbban kérdez majd.
A bizalom egy lista, nem egy aláírás
Az EUDI ökoszisztémában a bizalom közzétett megbízhatósági listákban (trusted lists) van lehorgonyozva: gép által olvasható nyilvántartásokban azokról az entitásokról, amelyek egy adott szerep betöltésére jogosultak. Az életkor-ellenőrzéshez a releváns nyilvántartás az Age Verification Trusted List — azoknak a kibocsátóknak a halmaza, amelyek életkor-igazoló tanúsítványait egy szabványkövető verifier elfogadhatja.
A validálási lánc, amelyet a verifierednek végig kell vinnie:
- Elemezd a bemutatott
mso_mdocéletkor-igazolást (azeu.europa.ec.av.1tanúsítványt — lásd a névtérről szóló fejlesztői útmutatónkat). - Ellenőrizd az aláírást a kibocsátó tanúsítványával szemben.
- Horgonyozd azt a tanúsítványt az Age Verification Trusted Listhez — erősítsd meg, hogy a kibocsátó ténylegesen szerepel a listán.
- Csak ezután adj hozzáférést.
Hagyd ki a 3. lépést, és örömmel elfogadsz egy tökéletesen aláírt tanúsítványt egy olyan kibocsátótól, akit senki sem hatalmazott fel. Ez a különbség a kriptográfiai érvényesség és a bizalom között, és ez az egész oka annak, hogy a megbízhatósági listák léteznek. Ennek a láncnak az általános verzióját a Hogyan működik az eIDAS-verifikáció cikkben járjuk végig; ez a bejegyzés ennek az életkor-ellenőrzésre szabott esete.
Már létezik egy tesztlista — az ACC-környezetben
Nem kell az élesre várnod, hogy ezt megépítsd. A Bizottság már most hosztol egy teszt Age Verification Trusted Listet az eIDAS Dashboard ACC- (acceptance-/elfogadási) környezetében. Egy figyelemre méltó részlet annak, aki felfedezi: a referencia-tesztkibocsátó Izland alatt jelenik meg ebben a környezetben — ez tesztelhelyezés, nem izlandi bevetésre vonatkozó kijelentés. Használd az ACC-listát a bizalom-horgonyzási logikád fejlesztésére és gyakorlására valós listaszerkezettel szemben már most, az éles lista élesítése előtt.
Az eIDAS Dashboard ugyanaz az infrastruktúra, amely az éles megbízhatósági lista végpontjait fogja hosztolni. Ha a validálásodat az ACC-listával szemben építed, akkor amikor az éles lista publikál, csak egy végpontot és egy bizalmi horgonyt cserélsz — nem nulláról tervezel egy képességet.
A megkülönböztetés, amelyen elcsúsznak az emberek: az AV-lista ≠ a WRPAC-lista
Ez ennek a bejegyzésnek a legfontosabb pontosítása. Az eIDAS Dashboard több megbízhatósági listát fog hosztolni különböző szerepekhez, és ezek összemosása valóban hibás integrációkhoz vezet:
| Lista | Erre a kérdésre válaszol | Ki használja |
|---|---|---|
| Age Verification Trusted List | „Jogosult-e ez a kibocsátó életkort tanúsítani?” | A verifier, hogy megbízzon egy beérkező bizonyítékban |
| WRPAC-szolgáltatói lista | „Jogosult-e ez az ellenőrző fél attribútumokat kérni?” | A tárca, hogy megbízzon egy kimenő kérésben |
Ellentétes irányba futnak. Az AV Trusted List téged, a verifiert védi attól, hogy szélhámos kibocsátók bizonyítékait elfogadd. A WRPAC-szolgáltatói lista a felhasználó tárcáját védi attól, hogy nem regisztrált ellenőrző feleknek tárjon fel attribútumokat. Ahogy dokumentáltuk, a WRPAC-szolgáltatói lista még nincs publikálva — a kötelezettségei 2026. december 24-től alkalmazandók. Az AV-tesztlista ezzel szemben már most elérhető az ACC-ben. Ugyanaz a dashboard, különböző listák, különböző idővonalak, a bizalom különböző irányai. Kezeld őket egyként, és a verifieredet a rossz nyilvántartás ellenőrzésére fogod bekötni.
A megbízhatósági lista validálásának üzemeltetési realitásai
Néhány mérnöki szempont, amely egy robusztus implementációt megkülönböztet egy törékenytől:
- Gyorsíts tárazva, de frissíts. A megbízhatósági listák változnak — kibocsátók kerülnek hozzá, tanúsítványok rotálódnak. Töltsd le a listát, gyorsítótárazd a teljesítményért, de frissíts ütemezetten, és kezeld azt az esetet, amikor egy korábban megbízható horgony eltűnik.
- Bukj zártan (fail closed). Ha nem éred el vagy nem tudod validálni a megbízhatósági listát, a helyes alapértelmezett egy életkori kapunál a megtagadás, nem az, hogy átengeded a felhasználót. Egy nyitottan bukó bizalmi ellenőrzés nem bizalmi ellenőrzés.
- Különböztesd meg a „még nincs publikálva” állapotot az „üres”-től. Ezalatt az átmeneti időszak alatt egy végpont jogosan jelezheti, hogy egy lista nincs publikálva. Ez egy definiált állapot, nem egy lenyelendő hiba — pontosan ahogy a 2026 május végi EU-27 WRPAC-státusznál találtuk, ahol a WRPAC-végpont szándékosan jelzi a nem-publikáltságot. A kódodnak fel kell ismernie a különbséget aközött, hogy „a lista szerint nincs kibocsátó”, és „még nincs lista”.
- Tisztán válaszd szét a teszt- és az éles horgonyokat. Az ACC-lista (az izlandi tesztkibocsátójával) soha nem lehet bizalmi horgony az éles verifieredben. Tartsd a környezeti konfigurációt explicit módon, hogy egy teszthorgony soha ne szivároghasson be az éles bizalomba.
Miért versenyelőny ez, nem csupán egy pipa
A legtöbb mai életkor-ellenőrző szállító validál egy aláírást, és kész is. Egy verifier, amely helyesen horgonyoz az EU Age Verification Trusted Listhez, valami lényegesen erősebbet tesz: az EU kormányzását érvényesíti afelett, hogy ki tanúsíthat életkort, nem csupán egyetlen aláírás kriptográfiáját. Amikor egy szabályozott ellenőrző félnek — egy szerencsejáték-üzemeltetőnek, egy életkor-korlátos piactérnek, egy DSA 28. cikk alá tartozó platformnak — bizonyítania kell, hogyan tudja, hogy egy életkori bizonyíték valódi, akkor a „az EU Age Verification Trusted Listhez horgonyzunk” sokkal erősebb válasz, mint „az aláírás stimmelt”. Ugyanez a logika alapozza meg a WooCommerce és az online szerencsejáték integrációinkat.
A lényeg
Az Age Verification Trusted Listtel szembeni validálás az a lépés, amely egy aláírt credentialt megbízhatóvá alakít. A tesztlista már ma létezik az eIDAS Dashboard ACC-környezetében, így nincs ok elhalasztani a megépítését. Horgonyozz minden bizonyítékot a listához, bukj zártan, ha nem tudod elérni, frissítsd a gyorsítótáradat, tartsd a teszt- és éles horgonyokat szigorúan külön — és soha ne keverd össze az AV-kibocsátói listát a WRPAC-szolgáltatói listával. Csináld ezt jól, és a verifiered az EU bizalmi kormányzását érvényesíti, nem csupán matekot ellenőriz.
Ez a bejegyzés az EU életkor-ellenőrzési bizalmi infrastruktúrájának 2026 júniusi állapotát tükrözi. Az éles Age Verification Trusted List az írás idején még nem volt élben; az ACC-tesztlista és az elhelyezései csak fejlesztésre valók. Ellenőrizd az eIDAS Dashboarddal és az aktuális verifier-útmutatóval szemben, mielőtt a részletekre hagyatkoznál.
Cikk megosztása
Segítsen másoknak megismerni az eIDAS-ellenőrzést