Por qué Let's Encrypt no emite certificados BIMI (VMC/CMC)
Let's Encrypt no puede emitir Verified Mark Certificates (VMC) ni Common Mark Certificates (CMC) porque la emisión de certificados BIMI requiere verificación manual de marcas registradas que el protocolo ACME no puede automatizar. Descubre por qué los VMCs cuestan más de $1,000 y cómo funciona el proceso.
La brecha de automatización.
Let's Encrypt es una de las autoridades de certificación más exitosas en la historia de internet. Ha emitido miles de millones de certificados TLS, impulsado la adopción de HTTPS en toda la web, y lo ha hecho completamente gratis. Así que cuando las organizaciones comienzan a implementar BIMI y descubren que los Mark Certificates cuestan más de $1,000 al año, la pregunta natural aparece en foros y hilos de soporte casi de inmediato:
"¿Por qué Let's Encrypt no puede simplemente emitir VMCs?"
La respuesta corta: el protocolo ACME automatiza la validación del control de dominio. Los certificados BIMI requieren algo fundamentalmente diferente — juicio humano sobre la propiedad de marcas registradas e identidad de marca. Estas dos cosas no son reconciliables con el mismo conjunto de herramientas.
Este artículo explica las razones estructurales de por qué, qué implica realmente el proceso de verificación para VMCs y CMCs, y por qué la diferencia de precio entre un certificado TLS gratuito y un Mark Certificate de más de $1,000 no es una tarifa arbitraria — refleja trabajo manual genuino realizado por examinadores acreditados.
Contexto: Qué hace realmente Let's Encrypt
Let's Encrypt opera sobre el protocolo ACME (Automated Certificate Management Environment, RFC 8555). Todo el modelo se construye alrededor de una pregunta:
¿La entidad que solicita este certificado controla el nombre de dominio en cuestión?
Para responder esa pregunta automáticamente, Let's Encrypt utiliza uno de tres tipos de desafío:
- HTTP-01 — Colocar un token específico en una URL conocida del dominio.
- DNS-01 — Publicar un registro TXT específico en la zona DNS del dominio.
- TLS-ALPN-01 — Responder a un handshake TLS en el puerto 443 con un certificado específico.
Si el desafío tiene éxito, el control del dominio queda demostrado. El certificado se emite en segundos. Ningún humano revisa la solicitud. Ningún humano podría revisar la solicitud — Let's Encrypt emite millones de certificados al día.
Este modelo funciona precisamente porque el control de dominio es un hecho binario, verificable por máquinas. O el token está presente o no lo está.
Qué certifica realmente un BIMI Mark Certificate
Un Verified Mark Certificate (VMC) o Common Mark Certificate (CMC) no certifica el control de dominio. Certifica algo categóricamente diferente:
Que un logotipo SVG específico está legítimamente asociado con una organización específica, y que la organización tiene derecho a mostrar ese logotipo en clientes de correo electrónico.
Para hacer esa afirmación, una autoridad de certificación debe responder preguntas que no tienen una respuesta verificable por máquinas:
- ¿Esta organización posee o tiene licencia de la marca registrada representada en el logotipo?
- ¿El archivo SVG es una representación fiel de esa marca registrada?
- ¿El logotipo ha estado en uso continuo y público el tiempo suficiente para calificar bajo las reglas de uso histórico de CMC?
- ¿La organización es la misma entidad legal nombrada en el registro de marca?
Ninguna de estas preguntas puede resolverse colocando un archivo en un servidor web.
El proceso de verificación de VMC: qué hacen realmente los examinadores
Los Verificadores de Marcas Acreditados (AMVs) — el pequeño número de CAs autorizadas para emitir VMCs, actualmente incluyendo DigiCert y Entrust — siguen un flujo de trabajo de examinación definido para cada solicitud. Los pasos a continuación reflejan los requisitos publicados por el BIMI Working Group y las directrices de Mark Certificate del CA/Browser Forum.
1. Verificación del registro de marca
El examinador recupera el registro de marca de la oficina nacional o internacional correspondiente (USPTO, EUIPO, WIPO, IPO, etc.) y confirma:
- La marca está registrada (no meramente solicitada).
- El registro está activo y no expirado, cancelado ni abandonado.
- Las clases de bienes y servicios son consistentes con el negocio del solicitante.
- El titular registrado coincide con la entidad legal que presenta la solicitud de certificado.
Este paso requiere acceso a múltiples bases de datos de marcas, conocimiento de derecho de propiedad intelectual internacional y juicio sobre casos límite — por ejemplo, si una renovación pendiente constituye un registro caducado.
2. Revisión de correspondencia entre logotipo y marca
El examinador compara el archivo SVG presentado con el espécimen de marca en el registro y determina si son sustancialmente la misma marca. Esto no es una operación de comparación de píxeles. Requiere evaluación humana de:
- Equivalencia estilística entre diferentes formatos de archivo.
- Si las variaciones de color están dentro de la tolerancia aceptable.
- Si las versiones simplificadas o adaptadas todavía representan la marca registrada.
3. Verificación de cumplimiento técnico del SVG
El SVG debe cumplir con el perfil BIMI SVG Tiny P/S — un subconjunto restringido de SVG 1.2 Tiny. Los examinadores verifican que el archivo:
- No contenga imágenes rasterizadas incrustadas.
- No use JavaScript ni referencias externas.
- Incluya el elemento
correcto. - Se renderice correctamente dentro de una ventana cuadrada.
Este es el único paso que es parcialmente automatizable, y varias CAs ejecutan verificaciones automáticas previas. Sin embargo, las verificaciones automáticas no reemplazan la aprobación del examinador.
4. Verificación de identidad organizacional
El examinador confirma que el solicitante del certificado es la misma entidad legal nombrada en el registro de marca. Esto típicamente implica:
- Revisar documentos de constitución o registros empresariales equivalentes.
- Confirmar que el representante autorizado del solicitante tiene poder de firma.
- Contrastar con registros de identidad existentes si la organización tiene certificados previos.
5. Verificación de uso histórico para CMC (cuando corresponda)
Los Common Mark Certificates — introducidos para apoyar logotipos ampliamente reconocidos pero no registrados formalmente como marcas — requieren un estándar probatorio diferente. En lugar de un número de registro, el solicitante debe demostrar uso continuo y público del logotipo durante un período calificante.
Aquí es donde el Wayback Machine (Internet Archive) y registros web históricos similares se vuelven relevantes. Los examinadores:
- Buscan en el Internet Archive capturas fechadas de la presencia web de la organización mostrando el logotipo.
- Verifican que el logotipo visible en las capturas históricas es sustancialmente el mismo que el SVG presentado.
- Confirman que las capturas abarcan la duración requerida sin brechas significativas.
- Evalúan si el uso histórico fue genuinamente público, no interno ni incidental.
Este proceso es inherentemente manual. El Wayback Machine no expone una API que devuelva un "puntaje de continuidad de logotipo" estructurado. Un examinador debe recuperar capturas, inspeccionarlas visualmente y emitir un juicio. Los casos límite — un rediseño del sitio a mitad de período, una actualización del logotipo, un cambio de dominio — requieren correspondencia con el solicitante y documentación adicional.
Por qué el protocolo ACME no puede cerrar esta brecha
El protocolo ACME está diseñado para automatizar prueba criptográfica de control. Los desafíos que define producen resultados que son válidos o inválidos sin ambigüedad.
La verificación de Mark Certificate produce resultados que son juicios, no pruebas. Considera:
| Paso de verificación | ¿Verificable por máquina? | Razón | |---|---|---| | Control de dominio (cert TLS) | Sí | La presencia del token es binaria | | Estado de registro de marca | Parcialmente | Existen APIs de registros, pero la interpretación requiere contexto legal | | Correspondencia logotipo-marca | No | Requiere juicio visual y legal | | Cumplimiento técnico del SVG | Parcialmente | Verificaciones automáticas previas posibles, no suficientes por sí solas | | Identidad organizacional | No | Requiere revisión de documentos | | Uso histórico del logotipo para CMC | No | Requiere investigación de archivos y comparación visual |
Incluso si una versión futura de ACME se extendiera con nuevos tipos de desafío, no existe una respuesta de desafío que pueda probar "este SVG es una representación fiel del registro de marca número 5,678,901". Esa determinación requiere un examinador humano calificado.
Por qué los VMCs cuestan $1,000 o más
El precio de un VMC refleja el costo del proceso de examinación descrito anteriormente, no el costo de las operaciones criptográficas involucradas en emitir un certificado. Esas operaciones son trivialmente económicas.
Los componentes del costo son:
- Tiempo del examinador — Un examinador de marcas calificado revisando documentación, correspondiendo con solicitantes y tomando decisiones de determinación. Dependiendo de la complejidad, una sola solicitud puede requerir varias horas de tiempo del examinador.
- Acceso a bases de datos de marcas — El acceso comercial a USPTO, EUIPO, WIPO y otros registros no es gratuito para usuarios de alto volumen.
- Responsabilidad civil y seguros — Los AMVs tienen responsabilidad profesional por sus determinaciones. Si un VMC se emite incorrectamente y permite suplantación de marca, la CA enfrenta exposición legal.
- Costos de auditoría y cumplimiento — Los AMVs son