Czym jest Mark Verifying Authority (MVA)? Jak wydawane są certyfikaty VMC
Dowiedz się, jak działa ekosystem MVA, które urzędy certyfikacji są uprawnione do wydawania Verified Mark Certificates oraz dlaczego zakup od niezatwierdzonego CA może zrujnować wdrożenie BIMI.
Łańcuch certyfikatów: Czym jest Mark Verifying Authority (MVA)?
Verified Mark Certificate (VMC) nie jest wydawany przez dowolny urząd certyfikacji. Aby wydawać certyfikaty VMC, urząd CA musi najpierw uzyskać status Mark Verifying Authority (MVA) — oznaczenie przyznawane wyłącznie po spełnieniu rygorystycznego zestawu wymogów technicznych, operacyjnych i audytowych określonych przez AuthIndicators Working Group (powszechnie znaną jako BIMI Group).
Zrozumienie ekosystemu MVA jest niezbędne przed zakupem certyfikatu VMC. Zakup od niezatwierdzonego źródła oznacza, że Twój certyfikat nie zostanie rozpoznany przez Gmail, Apple Mail ani żadnego innego klienta pocztowego obsługującego BIMI — a logo Twojej marki nie pojawi się w skrzynce odbiorczej.
Czym jest Mark Verifying Authority?
Mark Verifying Authority (MVA) to urząd certyfikacji formalnie zatwierdzony przez AuthIndicators Working Group do wydawania certyfikatów VMC. MVA pełni dwie kluczowe funkcje:
- Weryfikacja znaku towarowego — Potwierdza, że organizacja wnioskująca o VMC jest prawowitym właścicielem znaku towarowego powiązanego z logo.
- Wydawanie certyfikatów — Wydaje kryptograficznie podpisany certyfikat VMC, który wiąże zweryfikowany znak towarowy z plikiem logo SVG i domeną.
Odbiorcy poczty, tacy jak Google i Apple, ufają wyłącznie certyfikatom VMC wydanym przez zatwierdzonych MVA. Jeśli certyfikat zostanie wydany przez urząd CA spoza tej zatwierdzonej listy, cała asercja BIMI kończy się cichą porażką — logo nie jest wyświetlane, a nadawca nie otrzymuje żadnego komunikatu o błędzie.
Zatwierdzeni MVA na rok 2025
AuthIndicators Working Group prowadzi oficjalną listę zatwierdzonych MVA. Na rok 2025 status MVA posiadają trzy urzędy certyfikacji:
| MVA | Uwagi | |---|---| | DigiCert | Pierwszy zatwierdzony MVA; wydaje certyfikaty VMC pod marką DigiCert | | Sectigo | Wydaje certyfikaty VMC; historycznie silny w obszarze S/MIME i podpisywania kodu | | GlobalSign | Wydaje certyfikaty VMC; silna pozycja w korporacyjnym PKI |
Ważne: Lista ta zmienia się wraz z zakończeniem procesu zatwierdzania przez kolejne urzędy CA. Zawsze weryfikuj aktualny status MVA na stronie AuthIndicators Working Group przed dokonaniem zakupu.
Jak urząd CA uzyskuje status MVA
Proces zatwierdzania jest celowo wymagający. Urząd CA musi spełnić wszystkie poniższe wymagania, zanim BIMI Group przyzna mu status MVA.
1. Publikacja Oświadczenia o Praktyce Certyfikacyjnej (CPS)
Urząd CA musi opublikować Certification Practice Statement — szczegółowy dokument publiczny opisujący dokładnie, w jaki sposób wydaje, zarządza, unieważnia i odnawia certyfikaty VMC. CPS musi konkretnie odnosić się do procedur wydawania VMC oraz procesów weryfikacji znaków towarowych.
2. Rejestrowanie w logach Certificate Transparency (CT)
Każdy wydany certyfikat VMC musi być zgłoszony do logów Certificate Transparency — publicznie audytowalnych, dopisywalnych rejestrów wszystkich wydanych certyfikatów. Umożliwia to odbiorcom poczty, badaczom i właścicielom domen wykrywanie błędnie wydanych lub fałszywych certyfikatów.
3. Ustanowienie infrastruktury unieważniania certyfikatów
Urząd CA musi obsługiwać i utrzymywać listy unieważnionych certyfikatów (CRL) — lub równoważne respondery OCSP — aby skompromitowane lub błędnie wydane certyfikaty VMC mogły być szybko unieważnione. Odbiorcy poczty sprawdzają status unieważnienia przed wyświetleniem logo.
4. Przejście audytów WebTrust VMC
Urząd CA musi zlecić i pomyślnie przejść audyt WebTrust for VMC przeprowadzony przez akredytowanego zewnętrznego audytora. Audyty WebTrust oceniają, czy rzeczywiste praktyki urzędu CA są zgodne z opublikowanym CPS. Audyty te są powtarzane corocznie, tworząc stałe obciążenie związane ze zgodnością.
5. Rejestracja w CCADB
Urząd CA musi być zarejestrowany w Common CA Database (CCADB) — wspólnym repozytorium używanym przez Mozilla, Microsoft, Apple i Google do śledzenia zaufanych urzędów certyfikacji. Rejestracja w CCADB jest warunkiem wstępnym dla każdego urzędu CA ubiegającego się o zaufanie głównych dostawców platform.
Dlaczego certyfikaty VMC kosztują 1000 USD lub więcej
Infrastruktura zgodności opisana powyżej jest kosztowna w budowie i utrzymaniu. Każdy zatwierdzony MVA musi:
- Finansować coroczne audyty WebTrust (zazwyczaj dziesiątki tysięcy dolarów za cykl audytowy)
- Obsługiwać wysokodostępne potoki zgłaszania do logów CT
- Utrzymywać całodobową infrastrukturę CRL i OCSP
- Zatrudniać zespoły weryfikacji znaków towarowych zdolne do walidacji własności IP w globalnych rejestrach znaków towarowych
- Utrzymywać rejestrację w CCADB i reagować na zmiany polityk ze strony dostawców przeglądarek i platform pocztowych
Koszty te są przenoszone na kupujących. Certyfikat VMC wyceniony poniżej rynkowej stawki 1000–1500 USD rocznie powinien być traktowany jako sygnał ostrzegawczy — może wskazywać, że wydający urząd CA nie przeszedł pełnego procesu zatwierdzania MVA.
Dlaczego ma to znaczenie przy zakupie VMC
Tylko zatwierdzeni MVA wydają akceptowane certyfikaty
Gmail i Apple Mail walidują cały łańcuch certyfikatów przed wyświetleniem logo BIMI. Jeśli wydający urząd CA nie znajduje się na zatwierdzonej liście MVA, walidacja łańcucha kończy się niepowodzeniem i logo nie jest wyświetlane. Nie ma mechanizmu zastępczego, ostrzeżenia ani częściowego wyświetlania.
Weryfikacja znaku towarowego to wymóg prawny, nie formalność
MVA są zobowiązani do potwierdzania własności znaku towarowego poprzez oficjalne rejestry znaków towarowych (USPTO, EUIPO, WIPO i inne). Ten krok chroni zarówno ekosystem pocztowy, jak i Twoją markę. Certyfikat VMC wydany bez właściwej weryfikacji znaku towarowego jest niezgodny i podlega unieważnieniu.
Unieważnienie może nastąpić w dowolnym momencie
Jeśli MVA odkryje, że certyfikat został wydany nieprawidłowo — lub jeśli rejestracja Twojego znaku towarowego wygaśnie — certyfikat VMC może zostać unieważniony. Ponieważ odbiorcy poczty sprawdzają status unieważnienia niemal w czasie rzeczywistym, unieważniony certyfikat VMC powoduje natychmiastowe zniknięcie logo ze wszystkich skrzynek odbiorczych.
Kluczowe wnioski
- Status MVA jest przyznawany przez AuthIndicators Working Group, a nie samodzielnie deklarowany przez urząd CA.
- Obecnie zatwierdzonych jest trzech MVA: DigiCert, Sectigo i GlobalSign.
- Proces zatwierdzania wymaga opublikowanego CPS, rejestrowania w logach CT, infrastruktury CRL, audytów WebTrust oraz rejestracji w CCADB.
- Wysokie ceny VMC odzwierciedlają rzeczywiste koszty zgodności — nie arbitralną marżę.
- Zawsze weryfikuj status MVA przed zakupem. Certyfikat od niezatwierdzonego urzędu CA nie będzie działał z Gmail ani Apple Mail.
Następne kroki
Przed zakupem certyfikatu VMC upewnij się, że fundamenty BIMI są na miejscu:
- Egzekwowanie DMARC — Twoja domena musi mieć politykę DMARC ustawioną na
p=quarantinelubp=reject. - Zgodność logo SVG — Twoje logo musi być zgodne z profilem BIMI SVG Tiny P/S.
- Rejestracja znaku towarowego — Twoje logo musi być zarejestrowane jako znak towarowy w jurysdykcji uznawanej przez wybranego MVA.
Rozpocznij z makeBIMI.com i veriBIMI.com
- makeBIMI.com — Bezpłatnie przekonwertuj swoje logo na plik SVG Tiny PS zgodny z BIMI i przeprowadź pełny audyt DMARC swojej domeny przed złożeniem wniosku o VMC.
- veriBIMI.com — Niezależne od dostawcy pośrednictwo w zakupie VMC dla zespołów korporacyjnych. Porównuj ceny i terminy wydania u wszystkich zatwierdzonych MVA — DigiCert, Sectigo i GlobalSign — z jednej platformy, bez uzależnienia od dostawcy.