Technical Reference · 2026 Edition

Was ist eine Mark Verifying Authority (MVA)? Wie VMCs ausgestellt werden

Erfahren Sie, wie das MVA-Ökosystem funktioniert, welche Certificate Authorities zur Ausstellung von Verified Mark Certificates zugelassen sind und warum der Kauf bei einer nicht zugelassenen CA Ihre BIMI-Implementierung gefährden kann.

Last updated min read

Die Zertifikatskette: Was ist eine Mark Verifying Authority (MVA)?

Ein Verified Mark Certificate (VMC) wird nicht von einer beliebigen Certificate Authority ausgestellt. Um VMCs ausstellen zu dürfen, muss eine CA zunächst die Bezeichnung Mark Verifying Authority (MVA) erhalten — ein Status, der nur nach Erfüllung strenger technischer, betrieblicher und prüfungsbezogener Anforderungen vergeben wird, die von der AuthIndicators Working Group (allgemein bekannt als BIMI Group) definiert werden.

Das Verständnis des MVA-Ökosystems ist vor dem Kauf eines VMC unerlässlich. Der Kauf von einer nicht zugelassenen Quelle bedeutet, dass Ihr Zertifikat weder von Gmail, Apple Mail noch von einem anderen BIMI-fähigen E-Mail-Client erkannt wird — und Ihr Markenlogo nicht im Posteingang erscheint.


Was ist eine Mark Verifying Authority?

Eine Mark Verifying Authority (MVA) ist eine Certificate Authority, die von der AuthIndicators Working Group offiziell zur Ausstellung von VMCs zugelassen wurde. Die MVA erfüllt zwei wesentliche Funktionen:

  1. Markenverifizierung — Bestätigt, dass die Organisation, die das VMC beantragt, der rechtmäßige Inhaber der mit dem Logo verbundenen Marke ist.
  2. Zertifikatsausstellung — Stellt ein kryptographisch signiertes VMC aus, das die verifizierte Marke mit einer SVG-Logodatei und einer Domain verbindet.

E-Mail-Empfänger wie Google und Apple vertrauen ausschließlich VMCs, die von zugelassenen MVAs ausgestellt wurden. Wenn ein Zertifikat von einer CA außerhalb dieser zugelassenen Liste ausgestellt wird, schlägt die gesamte BIMI-Assertion stillschweigend fehl — es wird kein Logo angezeigt, und der Absender erhält keine Fehlermeldung.


Zugelassene MVAs Stand 2025

Die AuthIndicators Working Group führt die maßgebliche Liste der zugelassenen MVAs. Stand 2025 besitzen drei Certificate Authorities den MVA-Status:

| MVA | Anmerkungen | |---|---| | DigiCert | Erste zugelassene MVA; stellt VMCs unter der Marke DigiCert aus | | Sectigo | Stellt VMCs aus; historisch stark bei S/MIME und Code Signing | | GlobalSign | Stellt VMCs aus; starke Präsenz im Enterprise-PKI-Bereich |

Wichtig: Diese Liste ändert sich, wenn neue CAs den Zulassungsprozess abschließen. Überprüfen Sie den aktuellen MVA-Status immer bei der AuthIndicators Working Group, bevor Sie einen Kauf tätigen.

Wie eine CA zur MVA wird

Der Zulassungsprozess ist bewusst anspruchsvoll. Eine CA muss jede der folgenden Anforderungen erfüllen, bevor die BIMI Group den MVA-Status gewährt.

1. Veröffentlichung einer Certification Practice Statement (CPS)

Die CA muss eine Certification Practice Statement veröffentlichen — ein detailliertes öffentliches Dokument, das genau beschreibt, wie sie VMCs ausstellt, verwaltet, widerruft und erneuert. Die CPS muss spezifisch VMC-Ausstellungsverfahren und Markenverifizierungs-Workflows adressieren.

2. Protokollierung in Certificate Transparency (CT) Logs

Jedes ausgestellte VMC muss an Certificate Transparency Logs übermittelt werden — öffentlich überprüfbare, nur erweiterbare Aufzeichnungen aller ausgestellten Zertifikate. Dies ermöglicht E-Mail-Empfängern, Forschern und Domain-Inhabern, fehlerhaft ausgestellte oder betrügerische Zertifikate zu erkennen.

3. Aufbau einer Zertifikatswiderrufs-Infrastruktur

Die CA muss Certificate Revocation Lists (CRLs) — oder gleichwertige OCSP-Responder — betreiben und pflegen, damit kompromittierte oder fehlerhaft ausgestellte VMCs zeitnah widerrufen werden können. E-Mail-Empfänger prüfen den Widerrufsstatus, bevor sie ein Logo anzeigen.

4. Bestehen von WebTrust VMC-Audits

Die CA muss ein WebTrust for VMC-Audit beauftragen und bestehen, das von einem akkreditierten Drittprüfer durchgeführt wird. WebTrust-Audits bewerten, ob die tatsächlichen Praktiken der CA mit ihrer veröffentlichten CPS übereinstimmen. Diese Audits werden jährlich wiederholt und schaffen eine fortlaufende Compliance-Verpflichtung.

5. Registrierung in der CCADB

Die CA muss in der Common CA Database (CCADB) registriert sein — dem gemeinsamen Repository, das von Mozilla, Microsoft, Apple und Google verwendet wird, um vertrauenswürdige Certificate Authorities zu verfolgen. Die CCADB-Registrierung ist Voraussetzung für jede CA, die das Vertrauen großer Plattformanbieter anstrebt.


Warum VMCs 1.000 $ oder mehr kosten

Die oben beschriebene Compliance-Infrastruktur ist teuer in Aufbau und Wartung. Jede zugelassene MVA muss:

  • Jährliche WebTrust-Audits finanzieren (typischerweise zehntausende Dollar pro Audit-Zyklus)
  • Hochverfügbare CT-Log-Übermittlungspipelines betreiben
  • CRL- und OCSP-Infrastruktur rund um die Uhr bereitstellen
  • Markenverifizierungsteams beschäftigen, die in der Lage sind, IP-Eigentum über globale Markenregister zu validieren
  • Die CCADB-Registrierung aufrechterhalten und auf Richtlinienänderungen von Browser- und E-Mail-Plattformanbietern reagieren

Diese Kosten werden an die Käufer weitergegeben. Ein VMC, das unter dem Marktpreis von 1.000–1.500 $ pro Jahr liegt, sollte als Warnsignal betrachtet werden — es kann darauf hindeuten, dass die ausstellende CA den vollständigen MVA-Zulassungsprozess nicht abgeschlossen hat.


Warum dies beim Kauf eines VMC wichtig ist

Nur zugelassene MVAs stellen akzeptierte Zertifikate aus

Gmail und Apple Mail validieren die gesamte Zertifikatskette, bevor sie ein BIMI-Logo anzeigen. Wenn die ausstellende CA nicht auf der zugelassenen MVA-Liste steht, schlägt die Kettenvalidierung fehl und es wird kein Logo angezeigt. Es gibt keinen Fallback, keine Warnung und keine teilweise Anzeige.

Markenverifizierung ist eine rechtliche Anforderung, keine Formalität

MVAs sind verpflichtet, das Markeninhaber­schaftsrecht über offizielle Markenregister (USPTO, EUIPO, WIPO und andere) zu bestätigen. Dieser Schritt schützt sowohl das E-Mail-Ökosystem als auch Ihre Marke. Ein VMC, das ohne ordnungsgemäße Markenverifizierung ausgestellt wurde, ist nicht konform und kann widerrufen werden.

Ein Widerruf kann jederzeit erfolgen

Wenn eine MVA feststellt, dass ein Zertifikat fehlerhaft ausgestellt wurde — oder wenn Ihre Markenregistrierung erlischt — kann das VMC widerrufen werden. Da E-Mail-Empfänger den Widerrufsstatus nahezu in Echtzeit prüfen, führt ein widerrufenes VMC zum sofortigen Verschwinden des Logos in allen Posteingängen.


Wichtigste Erkenntnisse

  • Der MVA-Status wird von der AuthIndicators Working Group vergeben, nicht von einer CA selbst deklariert.
  • Drei MVAs sind derzeit zugelassen: DigiCert, Sectigo und GlobalSign.
  • Der Zulassungsprozess erfordert eine veröffentlichte CPS, CT-Protokollierung, CRL-Infrastruktur, WebTrust-Audits und CCADB-Registrierung.
  • Hohe VMC-Preise spiegeln echte Compliance-Kosten wider — keine willkürliche Marge.
  • Überprüfen Sie den MVA-Status immer vor dem Kauf. Ein Zertifikat von einer nicht zugelassenen CA funktioniert weder mit Gmail noch mit Apple Mail.

Nächste Schritte

Vor dem Kauf eines VMC stellen Sie sicher, dass Ihre BIMI-Grundlagen vorhanden sind:

  1. DMARC-Durchsetzung — Ihre Domain muss eine DMARC-Richtlinie von p=quarantine oder p=reject haben.
  2. SVG-Logo-Konformität — Ihr Logo muss dem BIMI SVG Tiny P/S-Profil entsprechen.
  3. Markenregistrierung — Ihr Logo muss als Marke in einer Rechtsordnung registriert sein, die von Ihrer gewählten MVA anerkannt wird.

Starten Sie mit makeBIMI.com und veriBIMI.com

  • makeBIMI.com — Konvertieren Sie Ihr Logo kostenlos in eine BIMI-konforme SVG Tiny PS-Datei und führen Sie ein vollständiges DMARC-Audit Ihrer Domain durch, bevor Sie ein VMC beantragen.
  • veriBIMI.com — CA-unabhängige VMC-Vermittlung für Enterprise-Teams. Vergleichen Sie Preise und Ausstellungszeiten aller zugelassenen MVAs — DigiCert, Sectigo und GlobalSign — auf einer einzigen Plattform, ohne Vendor-Lock-in.