Technical Reference · 2026 Edition

Waarom Let's Encrypt geen BIMI-certificaten (VMC/CMC) uitgeeft

Let's Encrypt kan geen Verified Mark Certificates (VMC) of Common Mark Certificates (CMC) uitgeven omdat BIMI-certificaatuitgifte handmatige merkverificatie vereist die het ACME-protocol niet kan automatiseren. Ontdek waarom VMC's €1.000+ kosten en hoe het proces werkt.

Last updated min read

De automatiseringskloof.

Let's Encrypt is een van de meest succesvolle certificaatautoriteiten in de internetgeschiedenis. Het heeft miljarden TLS-certificaten uitgegeven, HTTPS-adoptie over het hele web gestimuleerd, en dat volledig gratis gedaan. Dus wanneer organisaties beginnen met het implementeren van BIMI en ontdekken dat Mark Certificates meer dan €1.000 per jaar kosten, verschijnt de logische vraag vrijwel onmiddellijk in forums en supportthreads:

"Waarom kan Let's Encrypt niet gewoon VMC's uitgeven?"

Het korte antwoord: het ACME-protocol automatiseert domeincontrolevalidatie. BIMI-certificaten vereisen iets fundamenteel anders — menselijk oordeel over merkeigendom en merkidentiteit. Die twee zaken zijn niet verenigbaar met dezelfde toolchain.

Dit artikel legt de structurele redenen uit, wat het verificatieproces voor VMC's en CMC's daadwerkelijk inhoudt, en waarom het kostenverschil tussen een gratis TLS-certificaat en een Mark Certificate van €1.000+ geen willekeurige prijsstelling is — het weerspiegelt echte handmatige arbeid uitgevoerd door geaccrediteerde examinatoren.


Achtergrond: wat Let's Encrypt daadwerkelijk doet

Let's Encrypt werkt op basis van het ACME-protocol (Automated Certificate Management Environment, RFC 8555). Het hele model is gebouwd rond één vraag:

Heeft de entiteit die dit certificaat aanvraagt controle over de betreffende domeinnaam?

Om die vraag automatisch te beantwoorden, gebruikt Let's Encrypt een van drie challenge-types:

  1. HTTP-01 — Plaats een specifiek token op een bekende URL op het domein.
  2. DNS-01 — Publiceer een specifiek TXT-record in de DNS-zone van het domein.
  3. TLS-ALPN-01 — Reageer op een TLS-handshake op poort 443 met een specifiek certificaat.

Als de challenge slaagt, is domeincontrole bewezen. Het certificaat wordt binnen seconden uitgegeven. Geen mens beoordeelt de aanvraag. Geen mens zou de aanvraag kunnen beoordelen — Let's Encrypt geeft miljoenen certificaten per dag uit.

Dit model werkt precies omdat domeincontrole een binair, machinaal verifieerbaar feit is. Het token is aanwezig of het is dat niet.


Wat een BIMI Mark Certificate daadwerkelijk certificeert

Een Verified Mark Certificate (VMC) of Common Mark Certificate (CMC) certificeert geen domeincontrole. Het certificeert iets categorisch anders:

Dat een specifiek SVG-logo legitiem geassocieerd is met een specifieke organisatie, en dat de organisatie het recht heeft om dat logo in e-mailclients te tonen.

Om die bewering te doen, moet een certificaatautoriteit vragen beantwoorden die geen machinaal verifieerbaar antwoord hebben:

  1. Bezit of licenseert deze organisatie het handelsmerk dat in het logo is afgebeeld?
  2. Is het SVG-bestand een getrouwe weergave van dat geregistreerde handelsmerk?
  3. Is het logo lang genoeg continu en publiekelijk gebruikt om te kwalificeren onder de CMC-regels voor historisch gebruik?
  4. Is de organisatie dezelfde juridische entiteit als vermeld op de merkregistratie?

Geen van deze vragen kan worden opgelost door een bestand op een webserver te plaatsen.


Het VMC-verificatieproces: wat examinatoren daadwerkelijk doen

Geaccrediteerde Mark Verifiers (AMV's) — het kleine aantal CA's dat geautoriseerd is om VMC's uit te geven, momenteel waaronder DigiCert en Entrust — volgen een gedefinieerde examinatieworkflow voor elke aanvraag. De onderstaande stappen weerspiegelen de gepubliceerde vereisten van de BIMI Working Group en de CA/Browser Forum Mark Certificate-richtlijnen.

1. Verificatie van merkregistratie

De examinator haalt het merkregistratierecord op uit het relevante nationale of internationale register (USPTO, EUIPO, WIPO, BOIP, etc.) en bevestigt:

  • Het merk is geregistreerd (niet slechts aangevraagd).
  • De registratie is actief en niet verlopen, geannuleerd of opgegeven.
  • De klassen van goederen en diensten zijn consistent met de bedrijfsactiviteiten van de aanvrager.
  • De geregistreerde eigenaar komt overeen met de juridische entiteit die de certificaataanvraag indient.

Deze stap vereist toegang tot meerdere merkdatabases, kennis van internationaal IE-recht, en oordeelsvermogen over randgevallen — bijvoorbeeld of een lopende verlenging als een vervallen registratie geldt.

2. Beoordeling van logo-naar-handelsmerk correspondentie

De examinator vergelijkt het ingediende SVG-bestand met het merkspecimen in het register en bepaalt of ze in wezen hetzelfde merk zijn. Dit is geen pixel-diff operatie. Het vereist menselijke beoordeling van:

  • Stilistische equivalentie tussen verschillende bestandsformaten.
  • Of kleurvariaties binnen acceptabele tolerantie vallen.
  • Of vereenvoudigde of aangepaste versies nog steeds het geregistreerde merk vertegenwoordigen.

3. SVG technische compliance-controle

De SVG moet voldoen aan het BIMI SVG Tiny P/S-profiel — een beperkte subset van SVG 1.2 Tiny. Examinatoren verifiëren dat het bestand:

  • Geen ingesloten rasterafbeeldingen bevat.
  • Geen JavaScript of externe verwijzingen gebruikt.
  • Het juiste </code>-element bevat.</li> <li class="md-li">Correct rendert binnen een vierkante viewport.</li> </ul> <p class="md-p"> Dit is de enige stap die gedeeltelijk automatiseerbaar is, en verschillende CA's voeren inderdaad geautomatiseerde voorcontroles uit. Geautomatiseerde controles vervangen echter niet de goedkeuring van de examinator. </p> <h3 id="4-verificatie-van-organisatie-identiteit" class="md-h3">4. Verificatie van organisatie-identiteit</h3> <p class="md-p"> De examinator bevestigt dat de certificaataanvrager dezelfde juridische entiteit is als vermeld op de merkregistratie. Dit omvat doorgaans: </p> <ul class="md-ul"> <li class="md-li">Beoordeling van oprichtingsdocumenten of equivalente bedrijfsregistratierecords.</li> <li class="md-li">Bevestiging dat de geautoriseerde vertegenwoordiger van de aanvrager tekenbevoegdheid heeft.</li> <li class="md-li">Kruisverwijzing met bestaande identiteitsrecords als de organisatie eerdere certificaten heeft.</li> </ul> <h3 id="5-cmc-verificatie-van-historisch-gebruik-waar-van-toepassing" class="md-h3">5. CMC verificatie van historisch gebruik (waar van toepassing)</h3> <p class="md-p"> Common Mark Certificates — geïntroduceerd om logo's te ondersteunen die breed erkend zijn maar niet formeel als handelsmerk geregistreerd — vereisen een andere bewijsstandaard. In plaats van een registratienummer moet de aanvrager <strong>continu, publiek gebruik</strong> van het logo gedurende een kwalificerende periode aantonen. </p> <p class="md-p"> Dit is waar de <strong>Wayback Machine</strong> (Internet Archive) en vergelijkbare historische webrecords relevant worden. Examinatoren: </p> <ol class="md-ol"> <li class="md-li">Doorzoeken het Internet Archive naar gedateerde captures van de webpresentie van de organisatie waarop het logo zichtbaar is.</li> <li class="md-li">Verifiëren dat het logo zichtbaar in historische captures <strong>in wezen hetzelfde</strong> is als de ingediende SVG.</li> <li class="md-li">Bevestigen dat de captures de vereiste duur overspannen zonder significante onderbrekingen.</li> <li class="md-li">Beoordelen of het historische gebruik daadwerkelijk publieksgericht was, niet intern of incidenteel.</li> </ol> <p class="md-p"> Dit proces is inherent handmatig. De Wayback Machine biedt geen API die een gestructureerde "logo-continuïteitsscore" retourneert. Een examinator moet captures ophalen, ze visueel inspecteren en een oordeelsbeslissing nemen. Randgevallen — een site-herontwerp halverwege de periode, een logo-refresh, een domeinwijziging — vereisen correspondentie met de aanvrager en aanvullende documentatie. </p> <hr class="md-hr" /> <h2 id="waarom-het-acme-protocol-deze-kloof-niet-kan-overbruggen" class="md-h2">Waarom het ACME-protocol deze kloof niet kan overbruggen</h2> <p class="md-p"> Het ACME-protocol is ontworpen om <strong>cryptografisch bewijs van controle</strong> te automatiseren. De challenges die het definieert produceren uitkomsten die ofwel geldig ofwel ongeldig zijn, zonder ambiguïteit. </p> <p class="md-p"> Mark Certificate-verificatie produceert uitkomsten die <strong>oordelen zijn, geen bewijzen</strong>. Overweeg: </p> <p class="md-p"> | Verificatiestap | Machinaal verifieerbaar? | Reden | |---|---|---| | Domeincontrole (TLS-cert) | <strong>Ja</strong> | Tokenaanwezigheid is binair | | Status merkregistratie | Gedeeltelijk | Register-API's bestaan, maar interpretatie vereist juridische context | | Logo-naar-handelsmerk correspondentie | <strong>Nee</strong> | Vereist visueel en juridisch oordeel | | SVG technische compliance | Gedeeltelijk | Geautomatiseerde voorcontroles mogelijk, niet op zichzelf voldoende | | Organisatie-identiteit | <strong>Nee</strong> | Vereist documentbeoordeling | | CMC historisch logo-gebruik | <strong>Nee</strong> | Vereist archiefonderzoek en visuele vergelijking | </p> <p class="md-p"> Zelfs als een toekomstige versie van ACME zou worden uitgebreid met nieuwe challenge-types, is er geen challenge-response die kan bewijzen "deze SVG is een getrouwe weergave van merkregistratienummer 5.678.901." Die bepaling vereist een gekwalificeerde menselijke examinator. </p> <hr class="md-hr" /> <h2 id="waarom-vmc-s-1-000-of-meer-kosten" class="md-h2">Waarom VMC's €1.000 of meer kosten</h2> <p class="md-p"> De prijs van een VMC weerspiegelt de kosten van het hierboven beschreven examinatieproces, niet de kosten van de cryptografische operaties die betrokken zijn bij het uitgeven van een certificaat. Die operaties zijn verwaarloosbaar goedkoop. </p> <p class="md-p"> De kostencomponenten zijn: </p> <ol class="md-ol"> <li class="md-li"><strong>Examinatortijd</strong> — Een gekwalificeerde merkexaminator die documentatie beoordeelt, correspondeert met aanvragers en beoordelingsbeslissingen neemt. Afhankelijk van de complexiteit kan een enkele aanvraag meerdere uren examinatortijd vereisen.</li> <li class="md-li"><strong>Toegang tot merkdatabases</strong> — Commerciële toegang tot USPTO, EUIPO, WIPO en andere registers is niet gratis voor grootverbruikers.</li> <li class="md-li"><strong>Aansprakelijkheid en verzekering</strong> — AMV's dragen beroepsaansprakelijkheid voor hun beoordelingen. Als een VMC incorrect wordt uitgegeven en merkimitatie mogelijk maakt, staat de CA juridisch bloot.</li> <li class="md-li"><strong>Audit- en compliance-overhead</strong> — AMV's zijn</li> </ol> </div> <div class="doc-footer"> <a href="/" class="btn btn-primary">Convert Your Logo →</a> <a href="/check" class="btn btn-secondary">Audit Your Domain</a> </div> </main> </div> <footer> <div class="container footer-inner"> <div class="footer-left"> <span class="footer-copyright">© 2026 makeBIMI™</span> </div> <div class="footer-links"> <a href="/global" class="footer-link">Global</a> <a href="/knowledge">Learn</a> <a href="/certificates">VMC</a> <a href="https://veribimi.com" class="seo-link" rel="noopener">veriBIMI<sup style="font-size:0.45em; font-weight:400; color:rgba(247,248,248,0.28); position:relative; top:-0.5em; margin-left:1px; vertical-align:baseline;">℠</sup></a> <a href="https://veribimi.com/founder" rel="noopener">Founder</a> <a href="https://veribimi.com/privacy" rel="noopener">Privacy</a> </div> </div> </footer> <div class="cmd-overlay" id="cmd-overlay" role="dialog" aria-modal="true" aria-label="Command palette"> <div class="cmd-modal"> <div class="cmd-search-row"> <svg class="cmd-search-icon" width="15" height="15" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2"><circle cx="11" cy="11" r="8"/><path d="m21 21-4.35-4.35"/></svg> <input type="text" class="cmd-input" id="cmd-input" placeholder="Search documentation, navigate pages…" autocomplete="off" /> <span class="cmd-esc">ESC</span> </div> <div class="cmd-results" id="cmd-results"></div> <div class="cmd-footer"> <span><kbd>↑↓</kbd> Navigate</span> <span><kbd>↵</kbd> Select</span> <span><kbd>ESC</kbd> Close</span> </div> </div> </div> <div class="toast-container" id="toast-container"></div> <!-- Inject sections data for Cmd+K --> <script> window.DOC_SECTIONS = ; </script> <script src="/public/js/app.js?v4"></script> <script src="/public/js/toc.js?v4"></script> <script src="/public/js/interactions.js?v4"></script> <!-- ── COOKIE CONSENT BANNER (EU/EEA only, based on CF-IPCountry) ── --> <div id="cookie-consent-banner" style="display:none;" role="dialog" aria-label="Cookie consent"> <div class="cookie-consent-inner"> <p class="cookie-consent-text"> We use Google Analytics to understand how visitors use this tool. No advertising cookies are set. <a href="https://veribimi.com/privacy" rel="noopener" class="cookie-consent-link">Privacy Policy</a> </p> <div class="cookie-consent-actions"> <button class="cookie-consent-btn cookie-consent-accept" onclick="acceptCookies()">Accept</button> <button class="cookie-consent-btn cookie-consent-decline" onclick="declineCookies()">Decline</button> </div> </div> </div> <script> (function() { // Only show for EU/EEA countries (Cloudflare sets CF-IPCountry via meta tag injected server-side) var country = document.documentElement.getAttribute('data-country') || ''; var EU_COUNTRIES = ['AT','BE','BG','CY','CZ','DE','DK','EE','ES','FI','FR','GR','HR', 'HU','IE','IT','LT','LU','LV','MT','NL','PL','PT','RO','SE','SI','SK', 'IS','LI','NO','GB','CH']; // EEA + UK + Switzerland (nFADP) var consent = localStorage.getItem('makebimi_cookie_consent'); if (!consent && EU_COUNTRIES.indexOf(country) !== -1) { document.getElementById('cookie-consent-banner').style.display = 'block'; } if (consent === 'declined') { // Remove GA4 script if previously declined var scripts = document.querySelectorAll('script[src*="googletagmanager"]'); scripts.forEach(function(s) { s.parentNode && s.parentNode.removeChild(s); }); } })(); function acceptCookies() { localStorage.setItem('makebimi_cookie_consent', 'accepted'); document.getElementById('cookie-consent-banner').style.display = 'none'; } function declineCookies() { localStorage.setItem('makebimi_cookie_consent', 'declined'); document.getElementById('cookie-consent-banner').style.display = 'none'; // Disable GA4 for this session window['ga-disable-G-S1HG2ZB83B'] = true; } </script> </body> </html>