
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body>

<h1 dir="ltr" style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">Meeting Minutes – OpenID4VCI & OIDC HAIP WG</span></h1>

<p style="text-align: left; text-indent: 0px;"><span style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><b>Date:</b> Thursday, June 26, 2025</span></p>

<p style="text-align: left; text-indent: 0px;"><span style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><b>Time:</b> 08:00 PT</span></p>

<p style="text-align: left; text-indent: 0px;"><span style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><b>Chair:</b> Joseph Heenan</span></p>

<p style="text-align: left; text-indent: 0px;"><span style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><b>Note-taker:</b> Oriol Canadés</span></p>

<p style="text-align: left; text-indent: 0px;"><span style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><b>Participants:</b> Torsten Lodderstedt, Daniel Fett, Joseph Heenan, Kristina Yasuda, Michael Jones, Andy Lim,

 Brian Campbell, Christian Bormann, David Chadwick, Gareth Narinesingh, Gareth Oliver, Jin Wen, Juba Saadi, Lukasz Jaromin, Patrick Amrein, Peter Sorotokin, Rajvardhan Deshmukh, Oriol Canadés.</span></p>

<h2 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">1. General Updates</span></h2>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>OpenID Foundation Voting:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Members are encouraged to vote on the ongoing ballots for both VCI and Connect WGs, even if abstaining, to help reach quorum.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

No significant feedback yet on the DCP Working Group Last Call.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Plans to start the public review period for VCI [subject to PR #509 discussion].</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Interoperability Test Event:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

VCI interop event planned for July 16 (virtual); participation requires up-to-date implementation with current spec and HAIP support.</li></ul>

</ul>

<hr style="text-align: left; text-indent: 0px;">

<h2 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">2. OID4VCI – Key Discussions</span></h2>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Presentation During Issuance Security (Mix-up Attack) [PR #509]:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Security issue raised: a malicious issuer could forward presentation requests, leading to unauthorized credential issuance (mix-up attack).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Options considered:</li><ol start="1">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Delay start of public review.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Start public review without merging #509, address issue during the review (option favored by Kristina, Torsten, Gareth, Daniel).</b></li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Merge now, include a warning paragraph about the known issue, and fix during public review.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Delay to v1.1.</li></ol>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Consensus: Proceed with <b>option 2</b> (<a href="https://github.com/openid/OpenID4VCI/pull/509" data-outlook-id="2f9adfbe-a39a-478f-8069-b536a4c53921">see PR #509</a>), as group prefers not to delay process but not to merge a workaround with an open security

 hole.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Action: Joseph to inform interop participants; further solution design to continue in parallel.</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Signed Metadata PR [PR #520]:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Editorial suggestions; many approvals. Merged (<a href="https://github.com/openid/OpenID4VCI/pull/520" data-outlook-id="c3488f8e-f586-4a04-b69b-879354d77158">see PR #520</a>).</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Nonce Endpoint Protection [PR #558]:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Clarified that the nonce endpoint does <b>not</b> require an access token. Extensively discussed and agreed (<a href="https://github.com/openid/OpenID4VCI/pull/558" data-outlook-id="71b6b93a-04d1-4863-bfd0-b12e1b5d8630">see PR #558</a>), pending close.</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Other Issues/PRs:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/523" data-outlook-id="da1cf657-c790-4e9e-bd74-49fe77933898">Issue #523</a> (assigned to Gareth),

<a href="https://github.com/openid/OpenID4VCI/issues/538" data-outlook-id="8a9c632f-0c9f-4ac4-9d08-8ec5341874ad">

#538</a> (ready for PR), <a href="https://github.com/openid/OpenID4VCI/issues/539" data-outlook-id="66e6c4c1-1858-4eea-b3f3-e30176290a26">

#539</a> (review note by Joseph), <a href="https://github.com/openid/OpenID4VCI/issues/544" data-outlook-id="f1d8f37b-89ee-4999-9650-7528736095f3">

#544</a> (in progress), <a href="https://github.com/openid/OpenID4VCI/issues/551" data-outlook-id="d0fc778f-da26-44a6-ad8b-4d816353c23d">

#551</a>(ready for PR), <a href="https://github.com/openid/OpenID4VCI/issues/553" data-outlook-id="7d94c5ba-74b8-4c82-ad81-5ffe81e6c72d">

#553</a> (Christian working on shortening examples), <a href="https://github.com/openid/OpenID4VCI/issues/555" data-outlook-id="7c4e0f90-badb-44f1-b117-4f474119db86">

#555</a> (comments by Daniel Fett), <a href="https://github.com/openid/OpenID4VCI/issues/288" data-outlook-id="219d6455-f5ba-407d-8487-3524304f0836">

#288</a>(terminology review assigned to Rajvardhan).</li></ul>

</ul>

<hr style="text-align: left; text-indent: 0px;">

<h2 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">3. OIDC HAIP – Key Discussions</span></h2>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Editorial and Cleanup PRs [PR #85, #176, #175, #165, #187, #178]:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/85" data-outlook-id="004e2f4b-6d22-449f-a447-d12a89c1129a">PR #85</a>: Defined terms, capitalization, editorial cleanups; conflicts pending (Torsten to review).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/176" data-outlook-id="d1b09dff-3d18-434a-b370-0ab2f309d5ce">PR #176</a>: Signed issuer metadata, feedback from Torsten and Gareth. Discussion that signed_metadata

<b>MUST</b> be supported (#156).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/175" data-outlook-id="cd4da8a9-7937-465d-92b5-ef275e67aef8">PR #175</a>: Conflicts to be fixed and merged (Gareth responsible).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

[Other PRs/issues]: See Appendix for full tracking.</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Assurance Level and Attestation (General):</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Ongoing discussion about defining “high assurance” in concrete properties rather than vague language.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Attestation method support: Both platform-native and cross-platform to be defined for maximum flexibility, but not all must be mandated for all ecosystems.</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>HPKE Update [Issue #199]:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Michael Jones explains their point of view about HPKE. We pospouse the discussion because we need right experts to get a consensus</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Custom URL Schemes and Invocation:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Discussion around requiring a default URL scheme for wallet invocation; most agreed each ecosystem will define its own, but a common fallback remains valuable for interoperability.</li></ul>

</ul>

<hr style="text-align: left; text-indent: 0px;">

<h2 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">4. Security & Editorial</span></h2>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Ongoing efforts to:</li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Clarify key resolution and attestation support in both specs.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Update and shorten specification examples for clarity ([issue #553], Christian B.).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Maintain up-to-date security considerations, including referencing analysis from previous spec versions.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Rajvardhan to review terminology consistency ([issue #288]).</li></ul>

</ul>

<hr style="text-align: left; text-indent: 0px;">

<h2 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">5. Next Steps & Deadlines</span></h2>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Public review for VCI 1.0</b> to commence immediately; security/clarification fixes to continue in parallel.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Interop event</b>: July 16, 2025 (virtual).</li></ul>

<hr style="text-align: left; text-indent: 0px;">

<h2 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">Appendix: Issue & PR Log (Detailed Tracking)</span></h2>

<h3 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">OID4VCI</span></h3>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>PRs:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/pull/509" data-outlook-id="a574376d-e92e-425e-a8db-b85c11b42289">#509</a>: Presentation during issuance security, mix-up attack mitigation.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/pull/520" data-outlook-id="ce065142-0a2a-4eed-b11b-299d74ba1c0f">#520</a>: Signed metadata (merged).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/pull/558" data-outlook-id="1e233500-0cae-4bb6-8d79-8f44cb619aea">#558</a>: Nonce endpoint clarification.</li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Issues:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/523" data-outlook-id="4bf409e4-63ee-4f10-b083-7d34c9b1578e">#523</a>: Ready for PR, assigned to Gareth.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/538" data-outlook-id="35e39baa-adb1-476a-8e98-077d426e7f85">#538</a>: No objections, ready for PR.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/539" data-outlook-id="02b6a00b-0da8-494a-9ebf-cf55b69dafc4">#539</a>: Review note (Joseph).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/544" data-outlook-id="20bdfb49-63ce-46e8-b458-dc9519af09c6">#544</a>: Work in progress.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/551" data-outlook-id="093f775d-98a7-40a2-94be-e67f77599e22">#551</a>: Ready for PR.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/553" data-outlook-id="e1e11a8e-884a-49a5-aa32-09d329b731b3">#553</a>: Examples cleanup (Christian B., 70 character width).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/555" data-outlook-id="24d50adc-ba5c-464e-a8f1-15c5e3ed164f">#555</a>: Comments (Daniel Fett).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/OpenID4VCI/issues/288" data-outlook-id="c605ae49-7f64-4bee-b946-cfc66e9e9921">#288</a>: Terminology review (Rajvardhan).</li></ul>

</ul>

<h3 style="text-align: left; text-indent: 0px; color: rgb(0, 0, 0);"><span style="font-family: Aptos, Arial, Helvetica, sans-serif;">OIDC HAIP</span></h3>

<ul style="text-align: left;">

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>PRs:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/85" data-outlook-id="7f8e6cce-3590-43db-b388-3a8af49c9baa">#85</a>: Editorials, defined terms, capitalization (Torsten to review).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/176" data-outlook-id="70148c15-2e75-40b4-8a6a-fc9355a14f01">#176</a>: Signed issuer metadata (Torsten, Gareth).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/175" data-outlook-id="0a8cd9f4-d2ee-4425-941c-420f9ccd85e1">#175</a>: Conflict fix/merge (Gareth).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/165" data-outlook-id="fb5d0545-1de6-4ec5-88f3-163257441a47">#165</a></li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/178" data-outlook-id="e4460e60-02dc-4a6e-b419-9da5c0082c92">#178</a></li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/pull/187" data-outlook-id="8e02e6a4-2849-4bf6-9f91-e365d10653f9">#187</a></li></ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>Issues:</b></li><ul>

<li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/87" data-outlook-id="d989c98b-74c7-47ef-be4c-ef841b02627e">#87</a>: Cleanup, WG feedback.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/156" data-outlook-id="86081836-2214-4afb-b6c7-e8a1b0a5c871">#156</a>: signed_metadata MUST be supported.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/189" data-outlook-id="6d7eef05-c574-42b1-9516-08d92c5299be">#189</a>: New comment.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/190" data-outlook-id="31b9cbdc-b247-4b24-8747-3bc62a72c171">#190</a>: New comment.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/198" data-outlook-id="2f6a45ca-f6b4-41e9-bc20-bcbda9f01ef5">#198</a>: New comment.</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/199" data-outlook-id="4b475cd7-2489-43a9-a3ac-d944d9b0f384">#199</a>: HPKE (Michael Jones).</li><li style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<a href="https://github.com/openid/oid4vc-haip/issues/202" data-outlook-id="e2f1aa15-9236-4f11-9e1c-446210cb1c71">#202</a>: New comment.</li></ul>

</ul>

<div dir="ltr" style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Regards,</div>

<div dir="ltr" style="font-family: Aptos, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Oriol</div>

<div id="ms-outlook-mobile-signature" dir="ltr" style="color: inherit; background-color: inherit;">

<div dir="ltr" style="font-family: aptos, sans-serif; color: black;"><br>

</div>

</div>

</body>

</html>