O Que É uma Mark Verifying Authority (MVA)? Como os VMCs São Emitidos
Saiba como o ecossistema MVA funciona, quais Autoridades Certificadoras estão aprovadas para emitir Verified Mark Certificates, e por que comprar de uma CA não aprovada pode comprometer sua implementação BIMI.
A Cadeia de Certificados: O Que É uma Mark Verifying Authority (MVA)?
Um Verified Mark Certificate (VMC) não é emitido por qualquer Autoridade Certificadora. Para emitir VMCs, uma CA precisa primeiro conquistar a designação de Mark Verifying Authority (MVA) — um status concedido apenas após atender a um rigoroso conjunto de requisitos técnicos, operacionais e de auditoria definidos pelo AuthIndicators Working Group (comumente conhecido como BIMI Group).
Compreender o ecossistema MVA é essencial antes de adquirir um VMC. Comprar de uma fonte não aprovada significa que seu certificado não será reconhecido pelo Gmail, Apple Mail ou qualquer outro cliente de e-mail compatível com BIMI — e o logotipo da sua marca não aparecerá na caixa de entrada.
O Que É uma Mark Verifying Authority?
Uma Mark Verifying Authority (MVA) é uma Autoridade Certificadora que foi formalmente aprovada pelo AuthIndicators Working Group para emitir VMCs. A MVA desempenha duas funções críticas:
- Verificação de marca registrada — Confirma que a organização solicitando o VMC é a legítima proprietária da marca registrada associada ao logotipo.
- Emissão de certificado — Emite um VMC assinado criptograficamente que vincula a marca registrada verificada a um arquivo de logotipo SVG e a um domínio.
Receptores de e-mail como Google e Apple confiam apenas em VMCs emitidos por MVAs aprovadas. Se um certificado for emitido por uma CA fora desta lista aprovada, toda a asserção BIMI falha silenciosamente — nenhum logotipo é exibido e nenhum erro é apresentado ao remetente.
MVAs Aprovadas em 2025
O AuthIndicators Working Group mantém a lista oficial de MVAs aprovadas. Em 2025, três Autoridades Certificadoras possuem status de MVA:
| MVA | Observações | |---|---| | DigiCert | Primeira MVA aprovada; emite VMCs sob a marca DigiCert | | Sectigo | Emite VMCs; historicamente forte em S/MIME e assinatura de código | | GlobalSign | Emite VMCs; forte presença em PKI corporativo |
Importante: Esta lista muda conforme novas CAs completam o processo de aprovação. Sempre verifique o status atual de MVA no AuthIndicators Working Group antes de comprar.
Como uma CA Se Torna uma MVA
O processo de aprovação é deliberadamente exigente. Uma CA deve satisfazer todos os requisitos abaixo antes que o BIMI Group conceda o status de MVA.
1. Publicar uma Declaração de Práticas de Certificação (CPS)
A CA deve publicar uma Declaração de Práticas de Certificação — um documento público detalhado descrevendo exatamente como ela emite, gerencia, revoga e renova VMCs. A CPS deve abordar especificamente os procedimentos de emissão de VMC e os fluxos de trabalho de verificação de marca registrada.
2. Registrar em Logs de Certificate Transparency (CT)
Cada VMC emitido deve ser submetido a logs de Certificate Transparency — registros publicamente auditáveis e somente de adição de todos os certificados emitidos. Isso permite que receptores de e-mail, pesquisadores e proprietários de domínio detectem certificados emitidos incorretamente ou fraudulentos.
3. Estabelecer Infraestrutura de Revogação de Certificados
A CA deve operar e manter Listas de Revogação de Certificados (CRLs) — ou respondedores OCSP equivalentes — para que VMCs comprometidos ou emitidos incorretamente possam ser revogados prontamente. Receptores de e-mail verificam o status de revogação antes de exibir um logotipo.
4. Passar por Auditorias WebTrust para VMC
A CA deve contratar e passar em uma auditoria WebTrust para VMC conduzida por um auditor terceirizado credenciado. As auditorias WebTrust avaliam se as práticas reais da CA correspondem à CPS publicada. Essas auditorias são repetidas anualmente, criando um ônus de conformidade contínuo.
5. Registrar-se no CCADB
A CA deve estar registrada no Common CA Database (CCADB) — o repositório compartilhado usado por Mozilla, Microsoft, Apple e Google para rastrear Autoridades Certificadoras confiáveis. O registro no CCADB é um pré-requisito para qualquer CA que busque confiança dos principais fornecedores de plataformas.
Por Que os VMCs Custam $1.000 ou Mais
A infraestrutura de conformidade descrita acima é cara para construir e manter. Cada MVA aprovada deve:
- Financiar auditorias WebTrust anuais (tipicamente dezenas de milhares de dólares por ciclo de auditoria)
- Operar pipelines de alta disponibilidade para submissão a logs CT
- Manter infraestrutura de CRL e OCSP 24/7
- Contratar equipes de verificação de marca registrada capazes de validar propriedade de PI em registros de marcas globais
- Sustentar o registro no CCADB e responder a mudanças de políticas de fornecedores de navegadores e plataformas de e-mail
Esses custos são repassados aos compradores. Um VMC com preço abaixo da taxa de mercado de $1.000–$1.500 por ano deve ser tratado como um sinal de alerta — pode indicar que a CA emissora não completou o processo completo de aprovação como MVA.
Por Que Isso Importa Quando Você Compra um VMC
Apenas MVAs aprovadas produzem certificados aceitos
Gmail e Apple Mail validam toda a cadeia de certificados antes de exibir um logotipo BIMI. Se a CA emissora não estiver na lista de MVAs aprovadas, a validação da cadeia falha e nenhum logotipo é mostrado. Não há fallback, nenhum aviso e nenhuma exibição parcial.
A verificação de marca registrada é um requisito legal, não uma formalidade
As MVAs são obrigadas a confirmar a propriedade da marca registrada através de registros oficiais de marcas (USPTO, EUIPO, WIPO e outros). Esta etapa protege tanto o ecossistema de e-mail quanto sua marca. Um VMC emitido sem verificação adequada de marca registrada não está em conformidade e pode ser revogado.
A revogação pode acontecer a qualquer momento
Se uma MVA descobrir que um certificado foi emitido incorretamente — ou se seu registro de marca registrada expirar — o VMC pode ser revogado. Como os receptores de e-mail verificam o status de revogação em tempo quase real, um VMC revogado causa o desaparecimento imediato do logotipo em todas as caixas de entrada.
Principais Conclusões
- O status de MVA é concedido pelo AuthIndicators Working Group, não autodeclarado por uma CA.
- Três MVAs estão atualmente aprovadas: DigiCert, Sectigo e GlobalSign.
- O processo de aprovação requer uma CPS publicada, logging CT, infraestrutura de CRL, auditorias WebTrust e registro no CCADB.
- O alto preço dos VMCs reflete custos reais de conformidade — não margem arbitrária.
- Sempre verifique o status de MVA antes de comprar. Um certificado de uma CA não aprovada não funcionará com Gmail ou Apple Mail.
Próximos Passos
Antes de adquirir um VMC, certifique-se de que sua fundação BIMI está estabelecida:
- Aplicação de DMARC — Seu domínio deve ter uma política DMARC de
p=quarantineoup=reject. - Conformidade do logotipo SVG — Seu logotipo deve estar em conformidade com o perfil BIMI SVG Tiny P/S.
- Registro de marca — Seu logotipo deve estar registrado como marca em uma jurisdição reconhecida pela MVA escolhida.
Comece com makeBIMI.com e veriBIMI.com
- makeBIMI.com — Converta seu logotipo para um arquivo SVG Tiny PS compatível com BIMI gratuitamente, e execute uma auditoria DMARC completa em seu domínio antes de solicitar um VMC.
- veriBIMI.com — Corretora de VMC agnóstica de CA para equipes corporativas. Compare preços e prazos de emissão entre todas as MVAs aprovadas — DigiCert, Sectigo e GlobalSign — em uma única plataforma, sem dependência de fornecedor.