<html><head><meta http-equiv="content-type" content="text/html; charset=us-ascii"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><div>Hi all</div><div><br></div><div>As discussed on both working group calls this week, I started a proposal to remove the client_metadata_uri authorization parameter from the OpenID for Verifiable Credentials specification:</div><div><br></div><div><div>There are undocumented & unsolved security issues around client_metadata_uri ( <a href="https://github.com/openid/OpenID4VP/issues/14">https://github.com/openid/OpenID4VP/issues/14</a> ) and further concerns that it's not clear what client metadata parameters can actually be used in it ( <a href="https://github.com/openid/OpenID4VP/issues/17">https://github.com/openid/OpenID4VP/issues/17</a> ).</div><div><br></div><div>There's a further suggestion to decide an alternative way of fetching client metadata from a .well-known location ( #82 ).</div></div><div><br></div><div>This is being tracked on:</div><div><br></div><a href="https://github.com/openid/OpenID4VP/issues/202">https://github.com/openid/OpenID4VP/issues/202</a><div><br></div><div>There already seems to be quite good support for removing this on the issue (please add a comment/thumbs up if you support removing it).</div><div><br></div><div>If anyone has use cases that require this parameter can you please add a comment on the issue or reply to this emai with the detailsl? If not we will proceed to a PR a week from today.</div><div><br></div><div>Many thanks</div><div><br></div><div>Joseph</div><div><br></div></body></html>