Qu'est-ce qu'une Mark Verifying Authority (MVA) ? Comment les VMC sont délivrés
Découvrez le fonctionnement de l'écosystème MVA, quelles autorités de certification sont habilitées à délivrer des Verified Mark Certificates, et pourquoi acheter auprès d'une autorité non approuvée peut compromettre votre déploiement BIMI.
La chaîne de certification : qu'est-ce qu'une Mark Verifying Authority (MVA) ?
Un Verified Mark Certificate (VMC) n'est pas délivré par n'importe quelle autorité de certification. Pour émettre des VMC, une autorité de certification doit d'abord obtenir le statut de Mark Verifying Authority (MVA) — une désignation accordée uniquement après avoir satisfait à un ensemble rigoureux d'exigences techniques, opérationnelles et d'audit définies par l'AuthIndicators Working Group (communément appelé le BIMI Group).
Comprendre l'écosystème MVA est essentiel avant d'acheter un VMC. Acheter auprès d'une source non approuvée signifie que votre certificat ne sera pas reconnu par Gmail, Apple Mail ou tout autre client de messagerie compatible BIMI — et le logo de votre marque n'apparaîtra pas dans la boîte de réception.
Qu'est-ce qu'une Mark Verifying Authority ?
Une Mark Verifying Authority (MVA) est une autorité de certification officiellement approuvée par l'AuthIndicators Working Group pour délivrer des VMC. La MVA remplit deux fonctions essentielles :
- Vérification de la marque déposée — Confirme que l'organisation demandant le VMC est le propriétaire légitime de la marque associée au logo.
- Délivrance du certificat — Émet un VMC signé cryptographiquement qui associe la marque vérifiée à un fichier logo SVG et à un domaine.
Les récepteurs de courrier comme Google et Apple ne font confiance qu'aux VMC émis par des MVA approuvées. Si un certificat est délivré par une autorité de certification en dehors de cette liste approuvée, l'ensemble de l'assertion BIMI échoue silencieusement — aucun logo n'est affiché et aucune erreur n'est signalée à l'expéditeur.
MVA approuvées en 2025
L'AuthIndicators Working Group maintient la liste officielle des MVA approuvées. En 2025, trois autorités de certification détiennent le statut MVA :
| MVA | Remarques | |---|---| | DigiCert | Première MVA approuvée ; délivre des VMC sous la marque DigiCert | | Sectigo | Délivre des VMC ; historiquement forte dans le S/MIME et la signature de code | | GlobalSign | Délivre des VMC ; forte présence dans les PKI d'entreprise |
Important : Cette liste évolue au fur et à mesure que de nouvelles autorités de certification complètent le processus d'approbation. Vérifiez toujours le statut MVA actuel auprès de l'AuthIndicators Working Group avant d'acheter.
Comment une autorité de certification devient MVA
Le processus d'approbation est volontairement exigeant. Une autorité de certification doit satisfaire à toutes les exigences ci-dessous avant que le BIMI Group n'accorde le statut MVA.
1. Publier une déclaration des pratiques de certification (CPS)
L'autorité de certification doit publier une Certification Practice Statement — un document public détaillé décrivant précisément comment elle délivre, gère, révoque et renouvelle les VMC. La CPS doit aborder spécifiquement les procédures d'émission des VMC et les processus de vérification des marques.
2. Enregistrer dans les journaux Certificate Transparency (CT)
Chaque VMC émis doit être soumis aux journaux Certificate Transparency — des registres publics vérifiables, en ajout seul, de tous les certificats émis. Cela permet aux récepteurs de courrier, aux chercheurs et aux propriétaires de domaines de détecter les certificats émis par erreur ou frauduleusement.
3. Établir une infrastructure de révocation des certificats
L'autorité de certification doit exploiter et maintenir des listes de révocation de certificats (CRL) — ou des répondeurs OCSP équivalents — afin que les VMC compromis ou émis incorrectement puissent être révoqués rapidement. Les récepteurs de courrier vérifient le statut de révocation avant d'afficher un logo.
4. Se soumettre aux audits WebTrust VMC
L'autorité de certification doit commander et réussir un audit WebTrust for VMC réalisé par un auditeur tiers accrédité. Les audits WebTrust évaluent si les pratiques réelles de l'autorité de certification correspondent à sa CPS publiée. Ces audits sont répétés annuellement, créant une charge de conformité continue.
5. S'inscrire au CCADB
L'autorité de certification doit être enregistrée dans la Common CA Database (CCADB) — le référentiel partagé utilisé par Mozilla, Microsoft, Apple et Google pour suivre les autorités de certification de confiance. L'inscription au CCADB est une condition préalable pour toute autorité de certification cherchant à obtenir la confiance des principaux fournisseurs de plateformes.
Pourquoi les VMC coûtent 1 000 $ ou plus
L'infrastructure de conformité décrite ci-dessus est coûteuse à construire et à maintenir. Chaque MVA approuvée doit :
- Financer des audits WebTrust annuels (généralement des dizaines de milliers de dollars par cycle d'audit)
- Exploiter des pipelines de soumission aux journaux CT à haute disponibilité
- Maintenir une infrastructure CRL et OCSP disponible 24h/24 et 7j/7
- Constituer des équipes de vérification des marques capables de valider la propriété intellectuelle dans les registres de marques mondiaux
- Maintenir l'inscription au CCADB et répondre aux changements de politique des fournisseurs de navigateurs et de plateformes de messagerie
Ces coûts sont répercutés sur les acheteurs. Un VMC proposé en dessous du tarif du marché de 1 000 à 1 500 $ par an doit être considéré comme un signal d'alerte — cela peut indiquer que l'autorité de certification émettrice n'a pas complété le processus d'approbation MVA complet.
Pourquoi c'est important lors de l'achat d'un VMC
Seules les MVA approuvées produisent des certificats acceptés
Gmail et Apple Mail valident l'ensemble de la chaîne de certificats avant d'afficher un logo BIMI. Si l'autorité de certification émettrice ne figure pas sur la liste des MVA approuvées, la validation de la chaîne échoue et aucun logo n'est affiché. Il n'y a pas de solution de repli, pas d'avertissement et pas d'affichage partiel.
La vérification de la marque est une exigence légale, pas une formalité
Les MVA sont tenues de confirmer la propriété de la marque via les registres officiels de marques (USPTO, EUIPO, OMPI et autres). Cette étape protège à la fois l'écosystème de messagerie et votre marque. Un VMC émis sans vérification appropriée de la marque est non conforme et révocable.
La révocation peut survenir à tout moment
Si une MVA découvre qu'un certificat a été émis incorrectement — ou si votre enregistrement de marque expire — le VMC peut être révoqué. Étant donné que les récepteurs de courrier vérifient le statut de révocation en quasi-temps réel, un VMC révoqué entraîne la disparition immédiate du logo dans toutes les boîtes de réception.
Points clés à retenir
- Le statut MVA est accordé par l'AuthIndicators Working Group, et non auto-déclaré par une autorité de certification.
- Trois MVA sont actuellement approuvées : DigiCert, Sectigo et GlobalSign.
- Le processus d'approbation exige une CPS publiée, l'enregistrement CT, une infrastructure CRL, des audits WebTrust et l'inscription au CCADB.
- Les prix élevés des VMC reflètent des coûts de conformité réels — pas une marge arbitraire.
- Vérifiez toujours le statut MVA avant d'acheter. Un certificat d'une autorité de certification non approuvée ne fonctionnera pas avec Gmail ou Apple Mail.
Prochaines étapes
Avant d'acheter un VMC, assurez-vous que vos fondations BIMI sont en place :
- Application de DMARC — Votre domaine doit avoir une politique DMARC de
p=quarantineoup=reject. - Conformité du logo SVG — Votre logo doit être conforme au profil BIMI SVG Tiny P/S.
- Enregistrement de marque — Votre logo doit être enregistré comme marque dans une juridiction reconnue par la MVA de votre choix.
Commencez avec makeBIMI.com et veriBIMI.com
- makeBIMI.com — Convertissez gratuitement votre logo en fichier SVG Tiny PS conforme BIMI, et lancez un audit DMARC complet sur votre domaine avant de demander un VMC.
- veriBIMI.com — Courtage VMC indépendant des autorités de certification pour les équipes d'entreprise. Comparez les prix et les délais d'émission de toutes les MVA approuvées — DigiCert, Sectigo et GlobalSign — depuis une plateforme unique, sans dépendance à un fournisseur.