Technical Reference · 2026 Edition

Wat Is een Mark Verifying Authority (MVA)? Hoe VMCs Worden Uitgegeven

Leer hoe het MVA-ecosysteem werkt, welke Certificate Authorities zijn goedgekeurd om Verified Mark Certificates uit te geven, en waarom aankopen bij een niet-goedgekeurde CA uw BIMI-implementatie kan verstoren.

Last updated min read

De Certificaatketen: Wat Is een Mark Verifying Authority (MVA)?

Een Verified Mark Certificate (VMC) wordt niet door zomaar elke Certificate Authority uitgegeven. Om VMCs te mogen uitgeven, moet een CA eerst de aanduiding Mark Verifying Authority (MVA) verdienen — een status die alleen wordt verleend na het voldoen aan een strenge set technische, operationele en auditvereisten die zijn gedefinieerd door de AuthIndicators Working Group (algemeen bekend als de BIMI Group).

Het begrijpen van het MVA-ecosysteem is essentieel voordat u een VMC aanschaft. Aankopen bij een niet-goedgekeurde bron betekent dat uw certificaat niet wordt herkend door Gmail, Apple Mail of een andere BIMI-compatibele e-mailclient — en uw merklogo zal niet in de inbox verschijnen.


Wat Is een Mark Verifying Authority?

Een Mark Verifying Authority (MVA) is een Certificate Authority die formeel is goedgekeurd door de AuthIndicators Working Group om VMCs uit te geven. De MVA vervult twee kritieke functies:

  1. Merkverificatie — Bevestigt dat de organisatie die de VMC aanvraagt de rechtmatige eigenaar is van het handelsmerk dat aan het logo is gekoppeld.
  2. Certificaatuitgifte — Geeft een cryptografisch ondertekende VMC uit die het geverifieerde handelsmerk koppelt aan een SVG-logobestand en een domein.

E-mailontvangers zoals Google en Apple vertrouwen alleen VMCs die zijn uitgegeven door goedgekeurde MVAs. Als een certificaat wordt uitgegeven door een CA buiten deze goedgekeurde lijst, faalt de volledige BIMI-assertie stilzwijgend — er wordt geen logo weergegeven en er wordt geen foutmelding aan de afzender getoond.


Goedgekeurde MVAs vanaf 2025

De AuthIndicators Working Group beheert de gezaghebbende lijst van goedgekeurde MVAs. Vanaf 2025 hebben drie Certificate Authorities MVA-status:

| MVA | Opmerkingen | |---|---| | DigiCert | Eerste goedgekeurde MVA; geeft VMCs uit onder het DigiCert-merk | | Sectigo | Geeft VMCs uit; historisch sterk in S/MIME en code signing | | GlobalSign | Geeft VMCs uit; sterke aanwezigheid in enterprise PKI |

Belangrijk: Deze lijst verandert naarmate nieuwe CAs het goedkeuringsproces voltooien. Verifieer altijd de huidige MVA-status bij de AuthIndicators Working Group voordat u een aankoop doet.

Hoe een CA een MVA Wordt

Het goedkeuringsproces is bewust veeleisend. Een CA moet aan elke onderstaande vereiste voldoen voordat de BIMI Group MVA-status verleent.

1. Publiceer een Certification Practice Statement (CPS)

De CA moet een Certification Practice Statement publiceren — een gedetailleerd publiek document dat precies beschrijft hoe VMCs worden uitgegeven, beheerd, ingetrokken en vernieuwd. De CPS moet specifiek ingaan op VMC-uitgifteprocedures en merkverificatieworkflows.

2. Log naar Certificate Transparency (CT) Logs

Elke uitgegeven VMC moet worden ingediend bij Certificate Transparency logs — publiek controleerbare, append-only records van alle uitgegeven certificaten. Dit stelt e-mailontvangers, onderzoekers en domeineigenaren in staat om foutief uitgegeven of frauduleuze certificaten te detecteren.

3. Richt Certificaatintrekkingsinfrastructuur In

De CA moet Certificate Revocation Lists (CRLs) — of equivalente OCSP-responders — beheren en onderhouden, zodat gecompromitteerde of onjuist uitgegeven VMCs snel kunnen worden ingetrokken. E-mailontvangers controleren de intrekkingsstatus voordat een logo wordt weergegeven.

4. Ondergaan WebTrust VMC-audits

De CA moet een WebTrust voor VMC-audit laten uitvoeren en slagen, uitgevoerd door een geaccrediteerde externe auditor. WebTrust-audits beoordelen of de daadwerkelijke praktijken van de CA overeenkomen met de gepubliceerde CPS. Deze audits worden jaarlijks herhaald, wat een doorlopende nalevingslast creëert.

5. Registreer in de CCADB

De CA moet geregistreerd zijn in de Common CA Database (CCADB) — de gedeelde repository die wordt gebruikt door Mozilla, Microsoft, Apple en Google om vertrouwde Certificate Authorities te volgen. CCADB-registratie is een vereiste voor elke CA die vertrouwen zoekt van grote platformleveranciers.


Waarom VMCs €1.000 of Meer Kosten

De hierboven beschreven nalevingsinfrastructuur is duur om op te bouwen en te onderhouden. Elke goedgekeurde MVA moet:

  • Jaarlijkse WebTrust-audits financieren (doorgaans tienduizenden euro's per auditcyclus)
  • Hoog-beschikbare CT-log-indienpijplijnen beheren
  • 24/7 CRL- en OCSP-infrastructuur onderhouden
  • Merkverificatieteams bemannen die in staat zijn om IE-eigendom te valideren over wereldwijde handelsmerkenregisters
  • CCADB-registratie handhaven en reageren op beleidswijzigingen van browser- en e-mailplatformleveranciers

Deze kosten worden doorberekend aan kopers. Een VMC die onder de marktprijs van €1.000–€1.500 per jaar wordt geprijsd, moet als een rode vlag worden beschouwd — het kan erop wijzen dat de uitgevende CA het volledige MVA-goedkeuringsproces niet heeft doorlopen.


Waarom Dit Belangrijk Is Wanneer U een VMC Koopt

Alleen goedgekeurde MVAs produceren geaccepteerde certificaten

Gmail en Apple Mail valideren de volledige certificaatketen voordat een BIMI-logo wordt weergegeven. Als de uitgevende CA niet op de goedgekeurde MVA-lijst staat, faalt de ketenvalidatie en wordt er geen logo getoond. Er is geen terugvaloptie, geen waarschuwing en geen gedeeltelijke weergave.

Merkverificatie is een wettelijke vereiste, geen formaliteit

MVAs zijn verplicht om handelsmerkeigendom te bevestigen via officiële handelsmerkenregisters (USPTO, EUIPO, WIPO en anderen). Deze stap beschermt zowel het e-mailecosysteem als uw merk. Een VMC die zonder juiste merkverificatie is uitgegeven, is niet-conform en kan worden ingetrokken.

Intrekking kan op elk moment plaatsvinden

Als een MVA ontdekt dat een certificaat onjuist is uitgegeven — of als uw handelsmerkregistratie vervalt — kan de VMC worden ingetrokken. Omdat e-mailontvangers de intrekkingsstatus in bijna-realtime controleren, veroorzaakt een ingetrokken VMC onmiddellijke logo-verdwijning in alle inboxen.


Belangrijkste Punten

  • MVA-status wordt verleend door de AuthIndicators Working Group, niet zelf-gedeclareerd door een CA.
  • Drie MVAs zijn momenteel goedgekeurd: DigiCert, Sectigo en GlobalSign.
  • Het goedkeuringsproces vereist een gepubliceerde CPS, CT-logging, CRL-infrastructuur, WebTrust-audits en CCADB-registratie.
  • Hoge VMC-prijzen weerspiegelen echte nalevingskosten — geen willekeurige marge.
  • Verifieer altijd de MVA-status voordat u koopt. Een certificaat van een niet-goedgekeurde CA zal niet werken met Gmail of Apple Mail.

Volgende Stappen

Voordat u een VMC aanschaft, zorg ervoor dat uw BIMI-fundament op orde is:

  1. DMARC-handhaving — Uw domein moet een DMARC-beleid hebben van p=quarantine of p=reject.
  2. SVG-logoconformiteit — Uw logo moet voldoen aan het BIMI SVG Tiny P/S-profiel.
  3. Handelsmerkregistratie — Uw logo moet geregistreerd zijn als handelsmerk in een jurisdictie die wordt erkend door uw gekozen MVA.

Ga aan de Slag met makeBIMI.com en veriBIMI.com

  • makeBIMI.com — Converteer uw logo gratis naar een BIMI-conform SVG Tiny PS-bestand, en voer een volledige DMARC-audit uit op uw domein voordat u een VMC aanvraagt.
  • veriBIMI.com — CA-agnostische VMC-bemiddeling voor enterprise teams. Vergelijk prijzen en uitgiftetermijnen van alle goedgekeurde MVAs — DigiCert, Sectigo en GlobalSign — vanaf één platform, zonder vendor lock-in.