Technical Reference · 2026 Edition

Perché Let's Encrypt non emette certificati BIMI (VMC/CMC)

Let's Encrypt non può emettere Verified Mark Certificates (VMC) o Common Mark Certificates (CMC) perché l'emissione dei certificati BIMI richiede una verifica manuale dei marchi registrati che il protocollo ACME non può automatizzare. Scopri perché i VMC costano oltre 1.000$ e come funziona il processo.

Last updated min read

Il divario dell'automazione.

Let's Encrypt è una delle autorità di certificazione di maggior successo nella storia di internet. Ha emesso miliardi di certificati TLS, ha favorito l'adozione di HTTPS su tutto il web e lo ha fatto in modo completamente gratuito. Pertanto, quando le organizzazioni iniziano a implementare BIMI e scoprono che i Mark Certificate costano più di 1.000$ all'anno, la domanda naturale compare quasi immediatamente nei forum e nei thread di supporto:

"Perché Let's Encrypt non può semplicemente emettere VMC?"

La risposta breve: il protocollo ACME automatizza la validazione del controllo del dominio. I certificati BIMI richiedono qualcosa di fondamentalmente diverso — un giudizio umano sulla titolarità del marchio e sull'identità del brand. Queste due cose non sono conciliabili con gli stessi strumenti.

Questo articolo spiega le ragioni strutturali per cui ciò non è possibile, cosa comporta effettivamente il processo di verifica per i VMC e CMC, e perché il divario di costo tra un certificato TLS gratuito e un Mark Certificate da oltre 1.000$ non è una questione di prezzi arbitrari — riflette un autentico lavoro manuale svolto da esaminatori accreditati.


Contesto: cosa fa effettivamente Let's Encrypt

Let's Encrypt opera tramite il protocollo ACME (Automated Certificate Management Environment, RFC 8555). L'intero modello è costruito attorno a un'unica domanda:

L'entità che richiede questo certificato controlla effettivamente il nome di dominio in questione?

Per rispondere automaticamente a questa domanda, Let's Encrypt utilizza uno dei tre tipi di challenge:

  1. HTTP-01 — Posiziona un token specifico a un URL noto sul dominio.
  2. DNS-01 — Pubblica un record TXT specifico nella zona DNS del dominio.
  3. TLS-ALPN-01 — Risponde a un handshake TLS sulla porta 443 con un certificato specifico.

Se il challenge ha successo, il controllo del dominio è dimostrato. Il certificato viene emesso in pochi secondi. Nessun essere umano esamina la richiesta. Nessun essere umano potrebbe esaminare la richiesta — Let's Encrypt emette milioni di certificati al giorno.

Questo modello funziona precisamente perché il controllo del dominio è un fatto binario, verificabile da una macchina. O il token è presente oppure non lo è.


Cosa certifica effettivamente un BIMI Mark Certificate

Un Verified Mark Certificate (VMC) o Common Mark Certificate (CMC) non certifica il controllo del dominio. Certifica qualcosa di categoricamente diverso:

Che uno specifico logo SVG è legittimamente associato a una specifica organizzazione, e che l'organizzazione ha il diritto di visualizzare quel logo nei client di posta elettronica.

Per fare questa affermazione, un'autorità di certificazione deve rispondere a domande che non hanno una risposta verificabile da una macchina:

  1. Questa organizzazione possiede o ha in licenza il marchio registrato raffigurato nel logo?
  2. Il file SVG è una rappresentazione fedele di quel marchio registrato?
  3. Il logo è stato in uso continuo e pubblico abbastanza a lungo da qualificarsi secondo le regole CMC sull'uso storico?
  4. L'organizzazione è la stessa entità giuridica indicata nella registrazione del marchio?

Nessuna di queste domande può essere risolta posizionando un file su un server web.


Il processo di verifica VMC: cosa fanno effettivamente gli esaminatori

Gli Accredited Mark Verifiers (AMV) — il ristretto numero di CA autorizzate a emettere VMC, attualmente inclusi DigiCert e Entrust — seguono un flusso di lavoro di esame definito per ogni richiesta. I passaggi seguenti riflettono i requisiti pubblicati dal BIMI Working Group e dalle linee guida del CA/Browser Forum sui Mark Certificate.

1. Verifica della registrazione del marchio

L'esaminatore recupera il record di registrazione del marchio dal registro nazionale o internazionale pertinente (USPTO, EUIPO, WIPO, IPO, ecc.) e conferma:

  • Il marchio è registrato (non semplicemente oggetto di domanda).
  • La registrazione è attiva e non scaduta, annullata o abbandonata.
  • Le classi di prodotti e servizi sono coerenti con l'attività del richiedente.
  • Il titolare registrato corrisponde all'entità giuridica che presenta la richiesta di certificato.

Questo passaggio richiede accesso a molteplici database di marchi, conoscenza del diritto internazionale della proprietà intellettuale e capacità di giudizio sui casi limite — ad esempio, se un rinnovo in sospeso costituisca una registrazione decaduta.

2. Revisione della corrispondenza logo-marchio

L'esaminatore confronta il file SVG presentato con il campione del marchio registrato e determina se si tratta sostanzialmente dello stesso marchio. Non si tratta di un'operazione di confronto pixel per pixel. Richiede una valutazione umana di:

  • Equivalenza stilistica tra diversi formati di file.
  • Se le variazioni di colore rientrano nella tolleranza accettabile.
  • Se versioni semplificate o adattate rappresentano ancora il marchio registrato.

3. Verifica della conformità tecnica SVG

L'SVG deve essere conforme al profilo BIMI SVG Tiny P/S — un sottoinsieme ristretto di SVG 1.2 Tiny. Gli esaminatori verificano che il file:

  • Non contenga immagini raster incorporate.
  • Non utilizzi JavaScript o riferimenti esterni.
  • Includa l'elemento </code> corretto.</li> <li class="md-li">Sia visualizzato correttamente all'interno di un viewport quadrato.</li> </ul> <p class="md-p"> Questo è l'unico passaggio parzialmente automatizzabile, e diverse CA eseguono effettivamente controlli preliminari automatizzati. Tuttavia, i controlli automatizzati non sostituiscono l'approvazione dell'esaminatore. </p> <h3 id="4-verifica-dell-identit-organizzativa" class="md-h3">4. Verifica dell'identità organizzativa</h3> <p class="md-p"> L'esaminatore conferma che il richiedente del certificato è la stessa entità giuridica indicata nella registrazione del marchio. Questo comporta tipicamente: </p> <ul class="md-ul"> <li class="md-li">Revisione dei documenti costitutivi o dei registri aziendali equivalenti.</li> <li class="md-li">Conferma che il rappresentante autorizzato del richiedente abbia potere di firma.</li> <li class="md-li">Controllo incrociato con i record di identità esistenti se l'organizzazione ha certificati precedenti.</li> </ul> <h3 id="5-verifica-dell-uso-storico-cmc-dove-applicabile" class="md-h3">5. Verifica dell'uso storico CMC (dove applicabile)</h3> <p class="md-p"> I Common Mark Certificate — introdotti per supportare loghi ampiamente riconosciuti ma non formalmente registrati come marchi — richiedono uno standard probatorio diverso. Invece di un numero di registrazione, il richiedente deve dimostrare un <strong>uso continuo e pubblico</strong> del logo per un periodo qualificante. </p> <p class="md-p"> È qui che la <strong>Wayback Machine</strong> (Internet Archive) e archivi web storici simili diventano rilevanti. Gli esaminatori: </p> <ol class="md-ol"> <li class="md-li">Cercano nell'Internet Archive catture datate della presenza web dell'organizzazione che mostrano il logo.</li> <li class="md-li">Verificano che il logo visibile nelle catture storiche sia <strong>sostanzialmente lo stesso</strong> dell'SVG presentato.</li> <li class="md-li">Confermano che le catture coprano la durata richiesta senza lacune significative.</li> <li class="md-li">Valutano se l'uso storico fosse genuinamente rivolto al pubblico, non interno o incidentale.</li> </ol> <p class="md-p"> Questo processo è intrinsecamente manuale. La Wayback Machine non espone un'API che restituisce un "punteggio di continuità del logo" strutturato. Un esaminatore deve recuperare le catture, ispezionarle visivamente e formulare un giudizio. I casi limite — un restyling del sito a metà periodo, un aggiornamento del logo, un cambio di dominio — richiedono corrispondenza con il richiedente e documentazione aggiuntiva. </p> <hr class="md-hr" /> <h2 id="perch-il-protocollo-acme-non-pu-colmare-questo-divario" class="md-h2">Perché il protocollo ACME non può colmare questo divario</h2> <p class="md-p"> Il protocollo ACME è progettato per automatizzare la <strong>prova crittografica del controllo</strong>. I challenge che definisce producono risultati che sono validi o non validi senza ambiguità. </p> <p class="md-p"> La verifica dei Mark Certificate produce risultati che sono <strong>giudizi, non prove</strong>. Considera: </p> <p class="md-p"> | Passaggio di verifica | Verificabile da macchina? | Motivo | |---|---|---| | Controllo del dominio (cert. TLS) | <strong>Sì</strong> | La presenza del token è binaria | | Stato della registrazione del marchio | Parzialmente | Esistono API dei registri, ma l'interpretazione richiede contesto legale | | Corrispondenza logo-marchio | <strong>No</strong> | Richiede giudizio visivo e legale | | Conformità tecnica SVG | Parzialmente | Controlli preliminari automatizzati possibili, non sufficienti da soli | | Identità organizzativa | <strong>No</strong> | Richiede revisione documentale | | Uso storico del logo CMC | <strong>No</strong> | Richiede ricerca archivistica e confronto visivo | </p> <p class="md-p"> Anche se una futura versione di ACME venisse estesa con nuovi tipi di challenge, non esiste una risposta a un challenge che possa dimostrare "questo SVG è una rappresentazione fedele del marchio registrato numero 5.678.901". Quella determinazione richiede un esaminatore umano qualificato. </p> <hr class="md-hr" /> <h2 id="perch-i-vmc-costano-1-000-o-pi" class="md-h2">Perché i VMC costano 1.000$ o più</h2> <p class="md-p"> Il prezzo di un VMC riflette il costo del processo di esame descritto sopra, non il costo delle operazioni crittografiche coinvolte nell'emissione di un certificato. Quelle operazioni sono economicamente trascurabili. </p> <p class="md-p"> Le componenti di costo sono: </p> <ol class="md-ol"> <li class="md-li"><strong>Tempo dell'esaminatore</strong> — Un esaminatore di marchi qualificato che revisiona la documentazione, corrisponde con i richiedenti e prende decisioni determinative. A seconda della complessità, una singola richiesta può richiedere diverse ore di lavoro dell'esaminatore.</li> <li class="md-li"><strong>Accesso ai database dei marchi</strong> — L'accesso commerciale a USPTO, EUIPO, WIPO e altri registri non è gratuito per utenti ad alto volume.</li> <li class="md-li"><strong>Responsabilità e assicurazione</strong> — Gli AMV sono coperti da responsabilità professionale per le loro determinazioni. Se un VMC viene emesso erroneamente e consente l'impersonificazione di un brand, la CA è esposta a rischi legali.</li> <li class="md-li"><strong>Costi di audit e conformità</strong> — Gli AMV sono</li> </ol> </div> <div class="doc-footer"> <a href="/" class="btn btn-primary">Convert Your Logo →</a> <a href="/check" class="btn btn-secondary">Audit Your Domain</a> </div> </main> </div> <footer> <div class="container footer-inner"> <div class="footer-left"> <span class="footer-copyright">© 2026 makeBIMI™</span> </div> <div class="footer-links"> <a href="/global" class="footer-link">Global</a> <a href="/knowledge">Learn</a> <a href="/certificates">VMC</a> <a href="https://veribimi.com" class="seo-link" rel="noopener">veriBIMI<sup style="font-size:0.45em; font-weight:400; color:rgba(247,248,248,0.28); position:relative; top:-0.5em; margin-left:1px; vertical-align:baseline;">℠</sup></a> <a href="https://veribimi.com/founder" rel="noopener">Founder</a> <a href="https://veribimi.com/privacy" rel="noopener">Privacy</a> </div> </div> </footer> <div class="cmd-overlay" id="cmd-overlay" role="dialog" aria-modal="true" aria-label="Command palette"> <div class="cmd-modal"> <div class="cmd-search-row"> <svg class="cmd-search-icon" width="15" height="15" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2"><circle cx="11" cy="11" r="8"/><path d="m21 21-4.35-4.35"/></svg> <input type="text" class="cmd-input" id="cmd-input" placeholder="Search documentation, navigate pages…" autocomplete="off" /> <span class="cmd-esc">ESC</span> </div> <div class="cmd-results" id="cmd-results"></div> <div class="cmd-footer"> <span><kbd>↑↓</kbd> Navigate</span> <span><kbd>↵</kbd> Select</span> <span><kbd>ESC</kbd> Close</span> </div> </div> </div> <div class="toast-container" id="toast-container"></div> <!-- Inject sections data for Cmd+K --> <script> window.DOC_SECTIONS = ; </script> <script src="/public/js/app.js?v4"></script> <script src="/public/js/toc.js?v4"></script> <script src="/public/js/interactions.js?v4"></script> <!-- ── COOKIE CONSENT BANNER (EU/EEA only, based on CF-IPCountry) ── --> <div id="cookie-consent-banner" style="display:none;" role="dialog" aria-label="Cookie consent"> <div class="cookie-consent-inner"> <p class="cookie-consent-text"> We use Google Analytics to understand how visitors use this tool. No advertising cookies are set. <a href="https://veribimi.com/privacy" rel="noopener" class="cookie-consent-link">Privacy Policy</a> </p> <div class="cookie-consent-actions"> <button class="cookie-consent-btn cookie-consent-accept" onclick="acceptCookies()">Accept</button> <button class="cookie-consent-btn cookie-consent-decline" onclick="declineCookies()">Decline</button> </div> </div> </div> <script> (function() { // Only show for EU/EEA countries (Cloudflare sets CF-IPCountry via meta tag injected server-side) var country = document.documentElement.getAttribute('data-country') || ''; var EU_COUNTRIES = ['AT','BE','BG','CY','CZ','DE','DK','EE','ES','FI','FR','GR','HR', 'HU','IE','IT','LT','LU','LV','MT','NL','PL','PT','RO','SE','SI','SK', 'IS','LI','NO','GB','CH']; // EEA + UK + Switzerland (nFADP) var consent = localStorage.getItem('makebimi_cookie_consent'); if (!consent && EU_COUNTRIES.indexOf(country) !== -1) { document.getElementById('cookie-consent-banner').style.display = 'block'; } if (consent === 'declined') { // Remove GA4 script if previously declined var scripts = document.querySelectorAll('script[src*="googletagmanager"]'); scripts.forEach(function(s) { s.parentNode && s.parentNode.removeChild(s); }); } })(); function acceptCookies() { localStorage.setItem('makebimi_cookie_consent', 'accepted'); document.getElementById('cookie-consent-banner').style.display = 'none'; } function declineCookies() { localStorage.setItem('makebimi_cookie_consent', 'declined'); document.getElementById('cookie-consent-banner').style.display = 'none'; // Disable GA4 for this session window['ga-disable-G-S1HG2ZB83B'] = true; } </script> </body> </html>