Technical Reference · 2026 Edition

Welke Certificate Authorities geven VMCs uit in 2026?

Belangrijke update voor 2026: Entrust is gestopt met het uitgeven van publieke certificaten. Lees welke CAs nu VMCs en CMCs uitgeven, wat er met Entrust VMCs is gebeurd en hoe u correct kunt verlengen.

Last updated min read

Welke Certificate Authorities geven VMCs uit in 2026?

Belangrijke update: Het CA-landschap voor BIMI-certificaten is eind 2024 aanzienlijk veranderd. Als u een Verified Mark Certificate (VMC) van Entrust heeft aangeschaft, is uw verlengingsroute gewijzigd. Lees dit artikel voordat uw certificaat verloopt.

Overzicht

Verified Mark Certificates (VMCs) en Common Mark Certificates (CMCs) zijn de cryptografische referenties waarmee merklogo's kunnen worden weergegeven in ondersteunende e-mailclients via BIMI. Niet elke Certificate Authority (CA) is gekwalificeerd om deze uit te geven.

In november 2024 is Entrust volledig gestopt met de publieke certificaatactiviteiten en heeft het zijn publieke CA-divisie verkocht aan Sectigo. Deze enkele gebeurtenis heeft het VMC-uitgiftelandschap ingrijpend veranderd en vereist directe actie van elke organisatie die een door Entrust uitgegeven VMC bezit.

Dit artikel behandelt:

  • Welke CAs gekwalificeerd zijn om VMCs en CMCs uit te geven in 2026
  • Wat er is gebeurd met de publieke CA-activiteiten van Entrust
  • Wat houders van Entrust VMCs moeten doen bij verlenging
  • Waarom Apple Mail strengere CA-vereisten hanteert

Wat er is veranderd: het vertrek van Entrust

November 2024: Entrust stopt met het uitgeven van publieke certificaten

In november 2024 kondigde Entrust aan dat het zou stoppen met het uitgeven van publiek vertrouwde TLS- en merkcertificaten, inclusief VMCs. Dit besluit volgde op de eerdere aankondiging van Google dat Chrome geen nieuwe Entrust TLS-certificaten meer zou vertrouwen — een stap die wees op een breder verlies van ecosysteemvertrouwen in de publieke CA-activiteiten van Entrust.

Belangrijke feiten:

  • Entrust is gestopt met het uitgeven van nieuwe VMCs als onderdeel van de afbouw van publieke certificaten.
  • Entrust heeft zijn publieke CA-divisie verkocht — inclusief de certificaatuitgifte-infrastructuur en het klantenbestand — aan Sectigo.
  • Bestaande door Entrust uitgegeven VMCs blijven cryptografisch geldig tot hun vermelde vervaldatum. Er is geen onmiddellijke actie vereist voor geldige certificaten.
  • Verlenging moet worden afgerond via een andere gekwalificeerde CA. Entrust zal geen VMCs verlengen.

Wat Sectigo heeft overgenomen

Sectigo heeft niet simpelweg Entrust-certificaten voorzien van een nieuwe merknaam. Sectigo heeft de operationele infrastructuur en klantrelaties van de publieke CA-divisie van Entrust overgenomen en positioneert zich als het continuïteitspad voor voormalige Entrust-klanten. Sectigo is nu zelfstandig gekwalificeerd als VMC-uitgevende CA.


Gekwalificeerde CAs voor VMC-uitgifte in 2026

Een CA moet voldoen aan de vereisten van de Verified Mark Certificate Guidelines van de BIMI Working Group en een rootcertificaat onderhouden dat vertrouwd wordt door grote e-mailproviders. De volgende CAs zijn gekwalificeerd om VMCs uit te geven vanaf 2026:

| CA | VMC-uitgifte | Opmerkingen | |---|---|---| | DigiCert | ✅ Ja | Langst bestaande VMC-uitgever; breed ondersteund | | Sectigo | ✅ Ja | Publieke CA-divisie van Entrust overgenomen; nieuwe speler voor VMC | | GlobalSign | ✅ Ja | Gekwalificeerd voor zowel VMC als CMC |

Entrust: ❌ Geeft geen VMCs meer uit. Reeds in omloop zijnde door Entrust uitgegeven VMCs blijven geldig tot vervaldatum, maar kunnen niet via Entrust worden verlengd.

Gekwalificeerde CAs voor CMC-uitgifte in 2026

Common Mark Certificates (CMCs) zijn een nieuwer certificaattype dat BIMI-logoweergave mogelijk maakt zonder dat een geregistreerd handelsmerk vereist is — waardoor ze toegankelijk worden voor een breder scala aan organisaties. De gekwalificeerde CMC-uitgevers vanaf 2026 zijn:

| CA | CMC-uitgifte | Opmerkingen | |---|---|---| | GlobalSign | ✅ Ja | Vroege CMC-adopter | | SSL.com | ✅ Ja | Concurrerende prijsstelling; groeiende adoptie | | DigiCert | ✅ Ja | Consistent met hun VMC-aanbod |

Let op: CMC-ondersteuning in e-mailclients is nog in ontwikkeling. Verifieer de huidige clientondersteuning voordat u kiest voor CMC boven VMC voor uw implementatie.

Apple Mail en CA-vereisten

Apple Mail hanteert strengere vereisten dan andere BIMI-ondersteunende clients. Specifiek:

  • Apple Mail vereist dat uw VMC is uitgegeven door een CA die het expliciet erkent als gekwalificeerd.
  • Een VMC van een niet-erkende of verwijderde CA zal geen logoweergave activeren in Apple Mail, zelfs als het certificaat technisch gezien verder geldig is.
  • Dit maakt CA-selectie een deliverability en merkzichtbaarheidsbeslissing, niet slechts een compliance-checkbox.

Praktische implicatie: Als uw doelgroep Apple Mail gebruikt — dat een significant aandeel heeft in mobiele e-mailopeningen — moet u ervoor zorgen dat uw VMC is uitgegeven door DigiCert, Sectigo of GlobalSign. Een verlopen of onjuist verlengd certificaat van een niet-gekwalificeerde CA zal stilzwijgend falen.


Vereiste actie: houders van Entrust VMC

Als uw organisatie een VMC van Entrust heeft aangeschaft vóór november 2024, volg dan deze stappen:

  1. Zoek uw certificaatvervaldatum op. Controleer uw certificaatbeheerportaal of inspecteer het certificaat direct. Entrust VMCs zijn geldig tot hun vermelde vervaldatum — er is geen gedwongen intrekking.
  1. Probeer niet te verlengen via Entrust. Entrust geeft geen publieke certificaten meer uit. Elke verlengingsworkflow die via Entrust wordt geïnitieerd, zal niet resulteren in een geldig nieuw VMC.
  1. Selecteer een gekwalificeerde vervangende CA. Kies uit DigiCert, Sectigo of GlobalSign op basis van uw vereisten, budget en bestaande leveranciersrelaties.
  1. Bereid uw SVG-logobestand voor. VMC-uitgifte vereist een BIMI-compliant SVG Tiny 1.2-bestand. Als uw bestaande SVG is voorbereid voor uw Entrust VMC, verifieer dan of het nog steeds voldoet aan de huidige specificatievereisten voordat u het indient bij een nieuwe CA.
  1. Bevestig uw DMARC-beleid. Een geldig VMC vereist een afgedwongen DMARC-beleid (p=quarantine of p=reject). Bevestig dat uw DMARC-record correct is geconfigureerd voordat u de nieuwe certificaataanvraag start.
  1. Dien uw VMC-aanvraag in bij de gekozen CA. Houd rekening met verwerkingstijd voor handelsmerkverificatie, die doorgaans varieert van enkele dagen tot enkele weken, afhankelijk van de CA en de handelsmerkjurisdictie.
  1. Werk uw BIMI DNS-record bij met de nieuwe certificaat-URL zodra deze is uitgegeven. De a=-tag van het bimi TXT-record moet verwijzen naar de nieuwe VMC-locatie.

Kiezen tussen VMC en CMC in 2026

| Factor | VMC | CMC | |---|---|---| | Handelsmerk vereist | Ja — geregistreerd handelsmerk | Nee | | Ondersteuning e-mailclient | Breed, inclusief Apple Mail | Groeiend; verifieer per client | | Uitgevende CAs | DigiCert, Sectigo, GlobalSign | GlobalSign, SSL.com, DigiCert | | Kosten | Hoger | Lager | | Best voor | Gevestigde merken met geregistreerde handelsmerken | Merken zonder geregistreerde handelsmerken |

Als uw organisatie een geregistreerd handelsmerk bezit en zich richt op Apple Mail-gebruikers, blijft een VMC de aanbevolen keuze in 2026.


Samenvatting

  • Entrust is gestopt met de uitgifte van publieke certificaten in november 2024 en heeft zijn publieke CA-divisie verkocht aan Sectigo.
  • Gekwalificeerde VMC-uitgevers in 2026: DigiCert, Sectigo, GlobalSign.
  • Gekwalificeerde CMC-uitgevers in 2026: GlobalSign, SSL.com, DigiCert.
  • Entrust VMCs blijven geldig tot vervaldatum maar moeten worden verlengd via een andere gekwalificeerde CA.
  • Apple Mail vereist een VMC van een erkende gekwalificeerde CA voor logoweergave.
  • Houders van Entrust VMC moeten actie ondernemen voordat hun certificaat verloopt om onderbreking van logoweergave te voorkomen.

Volgende stappen

Bereid uw BIMI-assets voor en verifieer uw configuratie: