Quais Autoridades Certificadoras Emitem VMCs em 2026?
Atualização crítica de 2026: Entrust encerrou a emissão de certificados públicos. Saiba quais CAs agora emitem VMCs e CMCs, o que aconteceu com os VMCs da Entrust e como renovar corretamente.
Quais Autoridades Certificadoras Emitem VMCs em 2026?
Atualização crítica: O cenário das CAs para certificados BIMI mudou significativamente no final de 2024. Se você adquiriu um Verified Mark Certificate (VMC) da Entrust, seu caminho de renovação mudou. Leia este artigo antes que seu certificado expire.
Visão Geral
Verified Mark Certificates (VMCs) e Common Mark Certificates (CMCs) são as credenciais criptográficas que permitem que logotipos de marcas apareçam em clientes de email compatíveis via BIMI. Nem toda Autoridade Certificadora (CA) está qualificada para emiti-los.
Em novembro de 2024, a Entrust saiu completamente do negócio de certificados públicos, vendendo sua divisão de CA pública para a Sectigo. Esse único evento remodelou o cenário de emissão de VMCs e criou uma necessidade de ação direta para qualquer organização que possua um VMC emitido pela Entrust.
Este artigo documenta:
- Quais CAs estão qualificadas para emitir VMCs e CMCs em 2026
- O que aconteceu com o negócio de CA pública da Entrust
- O que os detentores de VMC da Entrust devem fazer na renovação
- Por que o Apple Mail impõe requisitos mais rigorosos para CAs
O Que Mudou: A Saída da Entrust
Novembro de 2024: Entrust Para de Emitir Certificados Públicos
Em novembro de 2024, a Entrust anunciou que cessaria a emissão de certificados TLS e de marca publicamente confiáveis, incluindo VMCs. Essa decisão seguiu o anúncio anterior do Google de que o Chrome não confiaria mais em novos certificados TLS da Entrust — um movimento que sinalizou uma perda mais ampla de confiança do ecossistema nas operações de CA pública da Entrust.
Fatos importantes:
- A Entrust parou de emitir novos VMCs como parte do encerramento de seus certificados públicos.
- A Entrust vendeu sua divisão de CA pública — incluindo sua infraestrutura de emissão de certificados e base de clientes — para a Sectigo.
- Os VMCs existentes emitidos pela Entrust permanecem criptograficamente válidos até a data de expiração declarada. Nenhuma ação imediata é necessária para certificados vigentes.
- A renovação deve ser concluída através de uma CA qualificada diferente. A Entrust não renovará VMCs.
O Que a Sectigo Adquiriu
A Sectigo não simplesmente rebatizou os certificados da Entrust. A Sectigo adquiriu a infraestrutura operacional e os relacionamentos com clientes da divisão de CA pública da Entrust, posicionando-se como o caminho de continuidade para ex-clientes da Entrust. A Sectigo agora está independentemente qualificada como uma CA emissora de VMC por mérito próprio.
CAs Qualificadas para Emissão de VMC em 2026
Uma CA deve atender aos requisitos das Diretrizes de Verified Mark Certificate do Grupo de Trabalho BIMI e manter um certificado raiz confiável pelos principais provedores de email. As seguintes CAs estão qualificadas para emitir VMCs em 2026:
| CA | Emissão de VMC | Observações | |---|---|---| | DigiCert | ✅ Sim | Emissor de VMC mais antigo; amplamente suportado | | Sectigo | ✅ Sim | Adquiriu a divisão de CA pública da Entrust; novo entrante para VMC | | GlobalSign | ✅ Sim | Qualificada tanto para VMC quanto para CMC |
Entrust: ❌ Não emite mais VMCs. Os VMCs emitidos pela Entrust já em circulação permanecem válidos até a expiração, mas não podem ser renovados através da Entrust.
CAs Qualificadas para Emissão de CMC em 2026
Common Mark Certificates (CMCs) são um tipo mais recente de certificado que permite a exibição de logotipo BIMI sem exigir uma marca registrada — tornando-os acessíveis a uma gama mais ampla de organizações. Os emissores de CMC qualificados em 2026 são:
| CA | Emissão de CMC | Observações | |---|---|---| | GlobalSign | ✅ Sim | Adotante inicial de CMC | | SSL.com | ✅ Sim | Preços competitivos; adoção crescente | | DigiCert | ✅ Sim | Consistente com sua oferta de VMC |
Nota: O suporte a CMC entre clientes de email ainda está amadurecendo. Verifique o suporte atual dos clientes antes de escolher CMC em vez de VMC para sua implementação.
Apple Mail e Requisitos de CA
O Apple Mail impõe requisitos mais rigorosos do que outros clientes compatíveis com BIMI. Especificamente:
- O Apple Mail exige que seu VMC seja emitido por uma CA que ele reconheça explicitamente como qualificada.
- Um VMC de uma CA não reconhecida ou removida da lista não acionará a exibição do logotipo no Apple Mail, mesmo que o certificado seja tecnicamente válido.
- Isso torna a seleção da CA uma decisão de entregabilidade e visibilidade de marca, não apenas uma verificação de conformidade.
Implicação prática: Se seu público usa Apple Mail — que detém uma parcela significativa de aberturas de email em dispositivos móveis — você deve garantir que seu VMC seja emitido pela DigiCert, Sectigo ou GlobalSign. Um certificado expirado ou renovado incorretamente de uma CA não qualificada falhará silenciosamente.
Ação Necessária: Detentores de VMC da Entrust
Se sua organização adquiriu um VMC da Entrust antes de novembro de 2024, siga estas etapas:
- Localize a data de expiração do seu certificado. Verifique seu portal de gerenciamento de certificados ou inspecione o certificado diretamente. Os VMCs da Entrust são válidos até a expiração declarada — não há revogação forçada.
- Não tente renovar através da Entrust. A Entrust não emite mais certificados públicos. Qualquer fluxo de renovação iniciado através da Entrust não resultará em um novo VMC válido.
- Selecione uma CA de substituição qualificada. Escolha entre DigiCert, Sectigo ou GlobalSign com base em seus requisitos, orçamento e relacionamentos existentes com fornecedores.
- Prepare seu arquivo de logotipo SVG. A emissão de VMC requer um arquivo SVG Tiny 1.2 compatível com BIMI. Se seu SVG existente foi preparado para seu VMC da Entrust, verifique se ele ainda atende aos requisitos de especificação atuais antes de enviar para uma nova CA.
- Confirme sua política DMARC. Um VMC válido requer uma política DMARC aplicada (
p=quarantineoup=reject). Confirme se seu registro DMARC está configurado corretamente antes de iniciar a nova solicitação de certificado.
- Envie sua solicitação de VMC para a CA escolhida. Reserve tempo para o processamento de verificação de marca registrada, que normalmente varia de vários dias a várias semanas, dependendo da CA e da jurisdição da marca.
- Atualize seu registro DNS BIMI com a nova URL do certificado assim que for emitido. A tag
a=do registro TXTbimideve apontar para a nova localização do VMC.
Escolhendo Entre VMC e CMC em 2026
| Fator | VMC | CMC | |---|---|---| | Marca registrada necessária | Sim — marca registrada | Não | | Suporte de clientes de email | Amplo, incluindo Apple Mail | Crescente; verifique por cliente | | CAs emissoras | DigiCert, Sectigo, GlobalSign | GlobalSign, SSL.com, DigiCert | | Custo | Mais alto | Mais baixo | | Melhor para | Marcas estabelecidas com marcas registradas | Marcas sem marcas registradas |
Se sua organização possui uma marca registrada e tem como alvo usuários do Apple Mail, um VMC continua sendo a escolha recomendada em 2026.
Resumo
- A Entrust saiu da emissão de certificados públicos em novembro de 2024 e vendeu sua divisão de CA pública para a Sectigo.
- Emissores de VMC qualificados em 2026: DigiCert, Sectigo, GlobalSign.
- Emissores de CMC qualificados em 2026: GlobalSign, SSL.com, DigiCert.
- Os VMCs da Entrust permanecem válidos até a expiração, mas devem ser renovados através de uma CA qualificada diferente.
- O Apple Mail exige um VMC de uma CA qualificada reconhecida para exibição do logotipo.
- Os detentores de VMC da Entrust devem agir antes que seu certificado expire para evitar interrupção na exibição do logotipo.
Próximos Passos
Prepare seus ativos BIMI e verifique sua configuração: