Technical Reference · 2026 Edition

Warum Let's Encrypt keine BIMI-Zertifikate (VMC/CMC) ausstellt

Let's Encrypt kann keine Verified Mark Certificates (VMC) oder Common Mark Certificates (CMC) ausstellen, da die Ausstellung von BIMI-Zertifikaten eine manuelle Markenverifizierung erfordert, die das ACME-Protokoll nicht automatisieren kann. Erfahren Sie, warum VMCs über 1.000 $ kosten und wie der Prozess funktioniert.

Last updated min read

Die Automatisierungslücke.

Let's Encrypt ist eine der erfolgreichsten Zertifizierungsstellen in der Geschichte des Internets. Sie hat Milliarden von TLS-Zertifikaten ausgestellt, die HTTPS-Verbreitung im Web vorangetrieben – und das alles völlig kostenlos. Wenn Organisationen daher mit der BIMI-Implementierung beginnen und feststellen, dass Mark Certificates über 1.000 $ pro Jahr kosten, taucht die naheliegende Frage fast sofort in Foren und Support-Threads auf:

„Warum kann Let's Encrypt nicht einfach VMCs ausstellen?"

Die kurze Antwort: Das ACME-Protokoll automatisiert die Validierung der Domain-Kontrolle. BIMI-Zertifikate erfordern etwas grundlegend anderes – menschliche Beurteilung von Markenbesitz und Markenidentität. Diese beiden Dinge lassen sich nicht mit demselben Werkzeugsatz vereinbaren.

Dieser Artikel erklärt die strukturellen Gründe dafür, was der Verifizierungsprozess für VMCs und CMCs tatsächlich beinhaltet und warum die Kostendifferenz zwischen einem kostenlosen TLS-Zertifikat und einem Mark Certificate für über 1.000 $ keine willkürliche Preisgestaltung ist – sie spiegelt echte manuelle Arbeit wider, die von akkreditierten Prüfern durchgeführt wird.


Hintergrund: Was Let's Encrypt tatsächlich macht

Let's Encrypt arbeitet mit dem ACME-Protokoll (Automated Certificate Management Environment, RFC 8555). Das gesamte Modell basiert auf einer einzigen Frage:

Kontrolliert die antragstellende Instanz den betreffenden Domainnamen?

Um diese Frage automatisch zu beantworten, verwendet Let's Encrypt einen von drei Challenge-Typen:

  1. HTTP-01 — Platziere ein bestimmtes Token unter einer bekannten URL auf der Domain.
  2. DNS-01 — Veröffentliche einen bestimmten TXT-Eintrag in der DNS-Zone der Domain.
  3. TLS-ALPN-01 — Antworte auf einen TLS-Handshake auf Port 443 mit einem spezifischen Zertifikat.

Wenn die Challenge erfolgreich ist, gilt die Domain-Kontrolle als nachgewiesen. Das Zertifikat wird innerhalb von Sekunden ausgestellt. Kein Mensch prüft den Antrag. Kein Mensch könnte den Antrag prüfen – Let's Encrypt stellt täglich Millionen von Zertifikaten aus.

Dieses Modell funktioniert genau deshalb, weil Domain-Kontrolle eine binäre, maschinell verifizierbare Tatsache ist. Entweder ist das Token vorhanden oder nicht.


Was ein BIMI Mark Certificate tatsächlich zertifiziert

Ein Verified Mark Certificate (VMC) oder Common Mark Certificate (CMC) zertifiziert keine Domain-Kontrolle. Es zertifiziert etwas kategorial Anderes:

Dass ein bestimmtes SVG-Logo legitimerweise mit einer bestimmten Organisation verbunden ist und dass die Organisation das Recht hat, dieses Logo in E-Mail-Clients anzuzeigen.

Um diese Aussage treffen zu können, muss eine Zertifizierungsstelle Fragen beantworten, die keine maschinell verifizierbare Antwort haben:

  1. Besitzt oder lizenziert diese Organisation die im Logo dargestellte Marke?
  2. Ist die SVG-Datei eine originalgetreue Darstellung dieser eingetragenen Marke?
  3. Wurde das Logo lange genug kontinuierlich und öffentlich verwendet, um nach den CMC-Regeln für historische Nutzung zu qualifizieren?
  4. Ist die Organisation dieselbe juristische Person, die in der Markeneintragung genannt ist?

Keine dieser Fragen lässt sich durch das Platzieren einer Datei auf einem Webserver beantworten.


Der VMC-Verifizierungsprozess: Was Prüfer tatsächlich tun

Akkreditierte Mark Verifiers (AMVs) – die kleine Anzahl von Zertifizierungsstellen, die zur Ausstellung von VMCs berechtigt sind, derzeit einschließlich DigiCert und Entrust – folgen einem definierten Prüfungsworkflow für jeden Antrag. Die folgenden Schritte entsprechen den veröffentlichten Anforderungen der BIMI Working Group und den Mark Certificate-Richtlinien des CA/Browser Forums.

1. Verifizierung der Markeneintragung

Der Prüfer ruft den Markeneintragungsdatensatz aus dem entsprechenden nationalen oder internationalen Register (USPTO, EUIPO, WIPO, DPMA usw.) ab und bestätigt:

  • Die Marke ist eingetragen (nicht nur angemeldet).
  • Die Eintragung ist aktiv und nicht abgelaufen, gelöscht oder aufgegeben.
  • Die Waren- und Dienstleistungsklassen sind mit dem Geschäft des Antragstellers vereinbar.
  • Der eingetragene Inhaber entspricht der juristischen Person, die den Zertifikatsantrag stellt.

Dieser Schritt erfordert Zugang zu mehreren Markendatenbanken, Kenntnis des internationalen Markenrechts und Urteilsvermögen bei Grenzfällen – beispielsweise ob eine ausstehende Verlängerung als erloschene Eintragung gilt.

2. Überprüfung der Logo-Marken-Übereinstimmung

Der Prüfer vergleicht die eingereichte SVG-Datei mit dem Markenexemplar in den Akten und bestimmt, ob es sich um im Wesentlichen dieselbe Marke handelt. Dies ist keine Pixel-für-Pixel-Analyse. Es erfordert menschliche Beurteilung von:

  • Stilistischer Äquivalenz über verschiedene Dateiformate hinweg.
  • Ob Farbvariationen innerhalb akzeptabler Toleranzen liegen.
  • Ob vereinfachte oder angepasste Versionen die eingetragene Marke noch repräsentieren.

3. Technische SVG-Konformitätsprüfung

Das SVG muss dem BIMI SVG Tiny P/S-Profil entsprechen – einer eingeschränkten Teilmenge von SVG 1.2 Tiny. Prüfer verifizieren, dass die Datei:

  • Keine eingebetteten Rasterbilder enthält.
  • Kein JavaScript oder externe Referenzen verwendet.
  • Das korrekte </code>-Element enthält.</li> <li class="md-li">Innerhalb eines quadratischen Viewports korrekt gerendert wird.</li> </ul> <p class="md-p"> Dies ist der einzige Schritt, der teilweise automatisierbar ist, und mehrere Zertifizierungsstellen führen automatisierte Vorprüfungen durch. Allerdings ersetzen automatisierte Prüfungen nicht die Freigabe durch einen Prüfer. </p> <h3 id="4-organisationsidentit-tsverifizierung" class="md-h3">4. Organisationsidentitätsverifizierung</h3> <p class="md-p"> Der Prüfer bestätigt, dass der Zertifikatsantragsteller dieselbe juristische Person ist, die in der Markeneintragung genannt ist. Dies beinhaltet typischerweise: </p> <ul class="md-ul"> <li class="md-li">Prüfung von Gründungsdokumenten oder gleichwertigen Handelsregisterunterlagen.</li> <li class="md-li">Bestätigung, dass der bevollmächtigte Vertreter des Antragstellers Unterschriftsberechtigung hat.</li> <li class="md-li">Abgleich mit bestehenden Identitätsdatensätzen, falls die Organisation bereits früher Zertifikate hatte.</li> </ul> <h3 id="5-cmc-verifizierung-historischer-nutzung-sofern-zutreffend" class="md-h3">5. CMC-Verifizierung historischer Nutzung (sofern zutreffend)</h3> <p class="md-p"> Common Mark Certificates – eingeführt zur Unterstützung von Logos, die weithin bekannt sind, aber nicht formal als Marken eingetragen wurden – erfordern einen anderen Nachweisstandard. Anstelle einer Registrierungsnummer muss der Antragsteller <strong>kontinuierliche, öffentliche Nutzung</strong> des Logos über einen qualifizierenden Zeitraum nachweisen. </p> <p class="md-p"> Hier werden die <strong>Wayback Machine</strong> (Internet Archive) und ähnliche historische Webaufzeichnungen relevant. Prüfer: </p> <ol class="md-ol"> <li class="md-li">Durchsuchen das Internet Archive nach datierten Captures der Webpräsenz der Organisation, die das Logo zeigen.</li> <li class="md-li">Verifizieren, dass das in historischen Captures sichtbare Logo <strong>im Wesentlichen dasselbe</strong> wie das eingereichte SVG ist.</li> <li class="md-li">Bestätigen, dass die Captures die erforderliche Dauer ohne signifikante Lücken abdecken.</li> <li class="md-li">Beurteilen, ob die historische Nutzung wirklich öffentlich sichtbar war, nicht intern oder nebensächlich.</li> </ol> <p class="md-p"> Dieser Prozess ist von Natur aus manuell. Die Wayback Machine bietet keine API, die einen strukturierten „Logo-Kontinuitäts-Score" zurückgibt. Ein Prüfer muss Captures abrufen, diese visuell inspizieren und ein Urteil fällen. Grenzfälle – ein Website-Redesign mitten im Zeitraum, ein Logo-Refresh, ein Domainwechsel – erfordern Korrespondenz mit dem Antragsteller und zusätzliche Dokumentation. </p> <hr class="md-hr" /> <h2 id="warum-das-acme-protokoll-diese-l-cke-nicht-schlie-en-kann" class="md-h2">Warum das ACME-Protokoll diese Lücke nicht schließen kann</h2> <p class="md-p"> Das ACME-Protokoll ist darauf ausgelegt, <strong>kryptographische Kontrollnachweise</strong> zu automatisieren. Die definierten Challenges produzieren Ergebnisse, die entweder gültig oder ungültig sind – ohne Mehrdeutigkeit. </p> <p class="md-p"> Die Verifizierung von Mark Certificates produziert Ergebnisse, die <strong>Beurteilungen sind, keine Beweise</strong>. Betrachten Sie: </p> <p class="md-p"> | Verifizierungsschritt | Maschinell verifizierbar? | Grund | |---|---|---| | Domain-Kontrolle (TLS-Zertifikat) | <strong>Ja</strong> | Token-Präsenz ist binär | | Status der Markeneintragung | Teilweise | Register-APIs existieren, aber Interpretation erfordert rechtlichen Kontext | | Logo-Marken-Übereinstimmung | <strong>Nein</strong> | Erfordert visuelles und rechtliches Urteil | | Technische SVG-Konformität | Teilweise | Automatisierte Vorprüfungen möglich, allein nicht ausreichend | | Organisationsidentität | <strong>Nein</strong> | Erfordert Dokumentenprüfung | | CMC historische Logo-Nutzung | <strong>Nein</strong> | Erfordert Archivrecherche und visuellen Vergleich | </p> <p class="md-p"> Selbst wenn eine zukünftige Version von ACME um neue Challenge-Typen erweitert würde, gibt es keine Challenge-Antwort, die beweisen kann: „Dieses SVG ist eine originalgetreue Darstellung der Markeneintragung Nr. 5.678.901." Diese Feststellung erfordert einen qualifizierten menschlichen Prüfer. </p> <hr class="md-hr" /> <h2 id="warum-vmcs-1-000-oder-mehr-kosten" class="md-h2">Warum VMCs 1.000 $ oder mehr kosten</h2> <p class="md-p"> Der Preis eines VMC spiegelt die Kosten des oben beschriebenen Prüfungsprozesses wider, nicht die Kosten der kryptographischen Operationen bei der Zertifikatsausstellung. Diese Operationen sind trivial günstig. </p> <p class="md-p"> Die Kostenkomponenten sind: </p> <ol class="md-ol"> <li class="md-li"><strong>Prüferzeit</strong> — Ein qualifizierter Markenprüfer, der Dokumentation prüft, mit Antragstellern korrespondiert und Entscheidungen trifft. Je nach Komplexität kann ein einzelner Antrag mehrere Stunden Prüferzeit erfordern.</li> <li class="md-li"><strong>Zugang zu Markendatenbanken</strong> — Kommerzieller Zugang zu USPTO, EUIPO, WIPO und anderen Registern ist für Großnutzer nicht kostenlos.</li> <li class="md-li"><strong>Haftung und Versicherung</strong> — AMVs tragen professionelle Haftung für ihre Feststellungen. Wenn ein VMC fehlerhaft ausgestellt wird und Markenimitation ermöglicht, ist die Zertifizierungsstelle rechtlichem Risiko ausgesetzt.</li> <li class="md-li"><strong>Audit- und Compliance-Aufwand</strong> — AMVs sind</li> </ol> </div> <div class="doc-footer"> <a href="/" class="btn btn-primary">Convert Your Logo →</a> <a href="/check" class="btn btn-secondary">Audit Your Domain</a> </div> </main> </div> <footer> <div class="container footer-inner"> <div class="footer-left"> <span class="footer-copyright">© 2026 makeBIMI™</span> </div> <div class="footer-links"> <a href="/global" class="footer-link">Global</a> <a href="/knowledge">Learn</a> <a href="/certificates">VMC</a> <a href="https://veribimi.com" class="seo-link" rel="noopener">veriBIMI<sup style="font-size:0.45em; font-weight:400; color:rgba(247,248,248,0.28); position:relative; top:-0.5em; margin-left:1px; vertical-align:baseline;">℠</sup></a> <a href="https://veribimi.com/founder" rel="noopener">Founder</a> <a href="https://veribimi.com/privacy" rel="noopener">Privacy</a> </div> </div> </footer> <div class="cmd-overlay" id="cmd-overlay" role="dialog" aria-modal="true" aria-label="Command palette"> <div class="cmd-modal"> <div class="cmd-search-row"> <svg class="cmd-search-icon" width="15" height="15" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2"><circle cx="11" cy="11" r="8"/><path d="m21 21-4.35-4.35"/></svg> <input type="text" class="cmd-input" id="cmd-input" placeholder="Search documentation, navigate pages…" autocomplete="off" /> <span class="cmd-esc">ESC</span> </div> <div class="cmd-results" id="cmd-results"></div> <div class="cmd-footer"> <span><kbd>↑↓</kbd> Navigate</span> <span><kbd>↵</kbd> Select</span> <span><kbd>ESC</kbd> Close</span> </div> </div> </div> <div class="toast-container" id="toast-container"></div> <!-- Inject sections data for Cmd+K --> <script> window.DOC_SECTIONS = ; </script> <script src="/public/js/app.js?v4"></script> <script src="/public/js/toc.js?v4"></script> <script src="/public/js/interactions.js?v4"></script> <!-- ── COOKIE CONSENT BANNER (EU/EEA only, based on CF-IPCountry) ── --> <div id="cookie-consent-banner" style="display:none;" role="dialog" aria-label="Cookie consent"> <div class="cookie-consent-inner"> <p class="cookie-consent-text"> We use Google Analytics to understand how visitors use this tool. No advertising cookies are set. <a href="https://veribimi.com/privacy" rel="noopener" class="cookie-consent-link">Privacy Policy</a> </p> <div class="cookie-consent-actions"> <button class="cookie-consent-btn cookie-consent-accept" onclick="acceptCookies()">Accept</button> <button class="cookie-consent-btn cookie-consent-decline" onclick="declineCookies()">Decline</button> </div> </div> </div> <script> (function() { // Only show for EU/EEA countries (Cloudflare sets CF-IPCountry via meta tag injected server-side) var country = document.documentElement.getAttribute('data-country') || ''; var EU_COUNTRIES = ['AT','BE','BG','CY','CZ','DE','DK','EE','ES','FI','FR','GR','HR', 'HU','IE','IT','LT','LU','LV','MT','NL','PL','PT','RO','SE','SI','SK', 'IS','LI','NO','GB','CH']; // EEA + UK + Switzerland (nFADP) var consent = localStorage.getItem('makebimi_cookie_consent'); if (!consent && EU_COUNTRIES.indexOf(country) !== -1) { document.getElementById('cookie-consent-banner').style.display = 'block'; } if (consent === 'declined') { // Remove GA4 script if previously declined var scripts = document.querySelectorAll('script[src*="googletagmanager"]'); scripts.forEach(function(s) { s.parentNode && s.parentNode.removeChild(s); }); } })(); function acceptCookies() { localStorage.setItem('makebimi_cookie_consent', 'accepted'); document.getElementById('cookie-consent-banner').style.display = 'none'; } function declineCookies() { localStorage.setItem('makebimi_cookie_consent', 'declined'); document.getElementById('cookie-consent-banner').style.display = 'none'; // Disable GA4 for this session window['ga-disable-G-S1HG2ZB83B'] = true; } </script> </body> </html>