Technical Reference · 2026 Edition

Cos'è una Mark Verifying Authority (MVA)? Come Vengono Emessi i VMC

Scopri come funziona l'ecosistema MVA, quali Certificate Authority sono autorizzate a emettere Verified Mark Certificate e perché acquistare da una CA non approvata può compromettere la tua implementazione BIMI.

Last updated min read

La Catena dei Certificati: Cos'è una Mark Verifying Authority (MVA)?

Un Verified Mark Certificate (VMC) non viene emesso da una qualsiasi Certificate Authority. Per emettere VMC, una CA deve prima ottenere la designazione di Mark Verifying Authority (MVA) — uno status concesso solo dopo aver soddisfatto un rigoroso insieme di requisiti tecnici, operativi e di audit definiti dall'AuthIndicators Working Group (comunemente noto come BIMI Group).

Comprendere l'ecosistema MVA è essenziale prima di acquistare un VMC. Acquistare da una fonte non approvata significa che il tuo certificato non sarà riconosciuto da Gmail, Apple Mail o qualsiasi altro client di posta compatibile con BIMI — e il logo del tuo brand non apparirà nella casella di posta.


Cos'è una Mark Verifying Authority?

Una Mark Verifying Authority (MVA) è una Certificate Authority formalmente approvata dall'AuthIndicators Working Group per emettere VMC. L'MVA svolge due funzioni critiche:

  1. Verifica del marchio — Conferma che l'organizzazione richiedente il VMC è il legittimo proprietario del marchio associato al logo.
  2. Emissione del certificato — Emette un VMC firmato crittograficamente che associa il marchio verificato a un file logo SVG e a un dominio.

I ricevitori di posta come Google e Apple si fidano solo dei VMC emessi da MVA approvate. Se un certificato viene emesso da una CA al di fuori di questo elenco approvato, l'intera asserzione BIMI fallisce silenziosamente — nessun logo viene visualizzato e nessun errore viene segnalato al mittente.


MVA Approvate al 2025

L'AuthIndicators Working Group mantiene l'elenco ufficiale delle MVA approvate. Al 2025, tre Certificate Authority detengono lo status di MVA:

| MVA | Note | |---|---| | DigiCert | Prima MVA approvata; emette VMC con il marchio DigiCert | | Sectigo | Emette VMC; storicamente forte in S/MIME e code signing | | GlobalSign | Emette VMC; forte presenza nella PKI enterprise |

Importante: Questo elenco cambia man mano che nuove CA completano il processo di approvazione. Verifica sempre lo status MVA attuale sul sito dell'AuthIndicators Working Group prima di acquistare.

Come una CA Diventa MVA

Il processo di approvazione è volutamente impegnativo. Una CA deve soddisfare ogni requisito elencato di seguito prima che il BIMI Group conceda lo status di MVA.

1. Pubblicare un Certification Practice Statement (CPS)

La CA deve pubblicare un Certification Practice Statement — un documento pubblico dettagliato che descrive esattamente come emette, gestisce, revoca e rinnova i VMC. Il CPS deve affrontare specificamente le procedure di emissione dei VMC e i workflow di verifica dei marchi.

2. Registrare nei Certificate Transparency (CT) Log

Ogni VMC emesso deve essere inviato ai Certificate Transparency log — registri pubblicamente verificabili, in sola aggiunta, di tutti i certificati emessi. Questo consente ai ricevitori di posta, ai ricercatori e ai proprietari di domini di rilevare certificati emessi erroneamente o fraudolenti.

3. Stabilire un'Infrastruttura di Revoca dei Certificati

La CA deve gestire e mantenere Certificate Revocation List (CRL) — o equivalenti OCSP responder — in modo che i VMC compromessi o emessi incorrettamente possano essere revocati tempestivamente. I ricevitori di posta verificano lo stato di revoca prima di visualizzare un logo.

4. Sottoporsi ad Audit WebTrust VMC

La CA deve commissionare e superare un audit WebTrust for VMC condotto da un revisore terzo accreditato. Gli audit WebTrust valutano se le pratiche effettive della CA corrispondono al CPS pubblicato. Questi audit vengono ripetuti annualmente, creando un onere di conformità continuo.

5. Registrarsi nel CCADB

La CA deve essere registrata nel Common CA Database (CCADB) — il repository condiviso utilizzato da Mozilla, Microsoft, Apple e Google per tracciare le Certificate Authority fidate. La registrazione nel CCADB è un prerequisito per qualsiasi CA che cerchi la fiducia dei principali fornitori di piattaforme.


Perché i VMC Costano 1.000 $ o Più

L'infrastruttura di conformità descritta sopra è costosa da costruire e mantenere. Ogni MVA approvata deve:

  • Finanziare audit WebTrust annuali (tipicamente decine di migliaia di dollari per ciclo di audit)
  • Gestire pipeline di invio ai CT log ad alta disponibilità
  • Mantenere infrastrutture CRL e OCSP attive 24/7
  • Impiegare team di verifica dei marchi capaci di validare la proprietà intellettuale attraverso registri di marchi globali
  • Sostenere la registrazione CCADB e rispondere ai cambiamenti di policy dei fornitori di browser e piattaforme di posta

Questi costi vengono trasferiti agli acquirenti. Un VMC con un prezzo inferiore al tasso di mercato di 1.000–1.500 $ all'anno dovrebbe essere considerato un segnale d'allarme — potrebbe indicare che la CA emittente non ha completato l'intero processo di approvazione MVA.


Perché Questo è Importante Quando Acquisti un VMC

Solo le MVA approvate producono certificati accettati

Gmail e Apple Mail validano l'intera catena di certificati prima di visualizzare un logo BIMI. Se la CA emittente non è nell'elenco delle MVA approvate, la validazione della catena fallisce e nessun logo viene mostrato. Non c'è fallback, nessun avviso e nessuna visualizzazione parziale.

La verifica del marchio è un requisito legale, non una formalità

Le MVA sono tenute a confermare la proprietà del marchio attraverso registri ufficiali dei marchi (USPTO, EUIPO, WIPO e altri). Questo passaggio protegge sia l'ecosistema di posta elettronica che il tuo brand. Un VMC emesso senza un'adeguata verifica del marchio non è conforme ed è revocabile.

La revoca può avvenire in qualsiasi momento

Se una MVA scopre che un certificato è stato emesso incorrettamente — o se la registrazione del tuo marchio scade — il VMC può essere revocato. Poiché i ricevitori di posta controllano lo stato di revoca quasi in tempo reale, un VMC revocato causa la scomparsa immediata del logo in tutte le caselle di posta.


Punti Chiave

  • Lo status di MVA è concesso dall'AuthIndicators Working Group, non autodichiarato da una CA.
  • Tre MVA sono attualmente approvate: DigiCert, Sectigo e GlobalSign.
  • Il processo di approvazione richiede un CPS pubblicato, CT logging, infrastruttura CRL, audit WebTrust e registrazione CCADB.
  • L'elevato prezzo dei VMC riflette costi di conformità reali — non margini arbitrari.
  • Verifica sempre lo status MVA prima di acquistare. Un certificato da una CA non approvata non funzionerà con Gmail o Apple Mail.

Prossimi Passi

Prima di acquistare un VMC, assicurati che le basi BIMI siano a posto:

  1. Enforcement DMARC — Il tuo dominio deve avere una policy DMARC di p=quarantine o p=reject.
  2. Conformità del logo SVG — Il tuo logo deve essere conforme al profilo BIMI SVG Tiny P/S.
  3. Registrazione del marchio — Il tuo logo deve essere registrato come marchio in una giurisdizione riconosciuta dalla MVA scelta.

Inizia con makeBIMI.com e veriBIMI.com

  • makeBIMI.com — Converti il tuo logo in un file SVG Tiny PS conforme a BIMI gratuitamente ed esegui un audit DMARC completo sul tuo dominio prima di richiedere un VMC.
  • veriBIMI.com — Intermediazione VMC indipendente dalla CA per team enterprise. Confronta prezzi e tempi di emissione tra tutte le MVA approvate — DigiCert, Sectigo e GlobalSign — da un'unica piattaforma, senza vincoli con il fornitore.