Technical Reference · 2026 Edition

O Que É uma Mark Verifying Authority (MVA)? Como os VMCs São Emitidos

Saiba como o ecossistema MVA funciona, quais Autoridades Certificadoras estão aprovadas para emitir Verified Mark Certificates, e por que comprar de uma CA não aprovada pode comprometer sua implementação BIMI.

Last updated min read

A Cadeia de Certificados: O Que É uma Mark Verifying Authority (MVA)?

Um Verified Mark Certificate (VMC) não é emitido por qualquer Autoridade Certificadora. Para emitir VMCs, uma CA precisa primeiro conquistar a designação de Mark Verifying Authority (MVA) — um status concedido apenas após atender a um rigoroso conjunto de requisitos técnicos, operacionais e de auditoria definidos pelo AuthIndicators Working Group (comumente conhecido como BIMI Group).

Compreender o ecossistema MVA é essencial antes de adquirir um VMC. Comprar de uma fonte não aprovada significa que seu certificado não será reconhecido pelo Gmail, Apple Mail ou qualquer outro cliente de e-mail compatível com BIMI — e o logotipo da sua marca não aparecerá na caixa de entrada.


O Que É uma Mark Verifying Authority?

Uma Mark Verifying Authority (MVA) é uma Autoridade Certificadora que foi formalmente aprovada pelo AuthIndicators Working Group para emitir VMCs. A MVA desempenha duas funções críticas:

  1. Verificação de marca registrada — Confirma que a organização solicitando o VMC é a legítima proprietária da marca registrada associada ao logotipo.
  2. Emissão de certificado — Emite um VMC assinado criptograficamente que vincula a marca registrada verificada a um arquivo de logotipo SVG e a um domínio.

Receptores de e-mail como Google e Apple confiam apenas em VMCs emitidos por MVAs aprovadas. Se um certificado for emitido por uma CA fora desta lista aprovada, toda a asserção BIMI falha silenciosamente — nenhum logotipo é exibido e nenhum erro é apresentado ao remetente.


MVAs Aprovadas em 2025

O AuthIndicators Working Group mantém a lista oficial de MVAs aprovadas. Em 2025, três Autoridades Certificadoras possuem status de MVA:

| MVA | Observações | |---|---| | DigiCert | Primeira MVA aprovada; emite VMCs sob a marca DigiCert | | Sectigo | Emite VMCs; historicamente forte em S/MIME e assinatura de código | | GlobalSign | Emite VMCs; forte presença em PKI corporativo |

Importante: Esta lista muda conforme novas CAs completam o processo de aprovação. Sempre verifique o status atual de MVA no AuthIndicators Working Group antes de comprar.

Como uma CA Se Torna uma MVA

O processo de aprovação é deliberadamente exigente. Uma CA deve satisfazer todos os requisitos abaixo antes que o BIMI Group conceda o status de MVA.

1. Publicar uma Declaração de Práticas de Certificação (CPS)

A CA deve publicar uma Declaração de Práticas de Certificação — um documento público detalhado descrevendo exatamente como ela emite, gerencia, revoga e renova VMCs. A CPS deve abordar especificamente os procedimentos de emissão de VMC e os fluxos de trabalho de verificação de marca registrada.

2. Registrar em Logs de Certificate Transparency (CT)

Cada VMC emitido deve ser submetido a logs de Certificate Transparency — registros publicamente auditáveis e somente de adição de todos os certificados emitidos. Isso permite que receptores de e-mail, pesquisadores e proprietários de domínio detectem certificados emitidos incorretamente ou fraudulentos.

3. Estabelecer Infraestrutura de Revogação de Certificados

A CA deve operar e manter Listas de Revogação de Certificados (CRLs) — ou respondedores OCSP equivalentes — para que VMCs comprometidos ou emitidos incorretamente possam ser revogados prontamente. Receptores de e-mail verificam o status de revogação antes de exibir um logotipo.

4. Passar por Auditorias WebTrust para VMC

A CA deve contratar e passar em uma auditoria WebTrust para VMC conduzida por um auditor terceirizado credenciado. As auditorias WebTrust avaliam se as práticas reais da CA correspondem à CPS publicada. Essas auditorias são repetidas anualmente, criando um ônus de conformidade contínuo.

5. Registrar-se no CCADB

A CA deve estar registrada no Common CA Database (CCADB) — o repositório compartilhado usado por Mozilla, Microsoft, Apple e Google para rastrear Autoridades Certificadoras confiáveis. O registro no CCADB é um pré-requisito para qualquer CA que busque confiança dos principais fornecedores de plataformas.


Por Que os VMCs Custam $1.000 ou Mais

A infraestrutura de conformidade descrita acima é cara para construir e manter. Cada MVA aprovada deve:

  • Financiar auditorias WebTrust anuais (tipicamente dezenas de milhares de dólares por ciclo de auditoria)
  • Operar pipelines de alta disponibilidade para submissão a logs CT
  • Manter infraestrutura de CRL e OCSP 24/7
  • Contratar equipes de verificação de marca registrada capazes de validar propriedade de PI em registros de marcas globais
  • Sustentar o registro no CCADB e responder a mudanças de políticas de fornecedores de navegadores e plataformas de e-mail

Esses custos são repassados aos compradores. Um VMC com preço abaixo da taxa de mercado de $1.000–$1.500 por ano deve ser tratado como um sinal de alerta — pode indicar que a CA emissora não completou o processo completo de aprovação como MVA.


Por Que Isso Importa Quando Você Compra um VMC

Apenas MVAs aprovadas produzem certificados aceitos

Gmail e Apple Mail validam toda a cadeia de certificados antes de exibir um logotipo BIMI. Se a CA emissora não estiver na lista de MVAs aprovadas, a validação da cadeia falha e nenhum logotipo é mostrado. Não há fallback, nenhum aviso e nenhuma exibição parcial.

As MVAs são obrigadas a confirmar a propriedade da marca registrada através de registros oficiais de marcas (USPTO, EUIPO, WIPO e outros). Esta etapa protege tanto o ecossistema de e-mail quanto sua marca. Um VMC emitido sem verificação adequada de marca registrada não está em conformidade e pode ser revogado.

A revogação pode acontecer a qualquer momento

Se uma MVA descobrir que um certificado foi emitido incorretamente — ou se seu registro de marca registrada expirar — o VMC pode ser revogado. Como os receptores de e-mail verificam o status de revogação em tempo quase real, um VMC revogado causa o desaparecimento imediato do logotipo em todas as caixas de entrada.


Principais Conclusões

  • O status de MVA é concedido pelo AuthIndicators Working Group, não autodeclarado por uma CA.
  • Três MVAs estão atualmente aprovadas: DigiCert, Sectigo e GlobalSign.
  • O processo de aprovação requer uma CPS publicada, logging CT, infraestrutura de CRL, auditorias WebTrust e registro no CCADB.
  • O alto preço dos VMCs reflete custos reais de conformidade — não margem arbitrária.
  • Sempre verifique o status de MVA antes de comprar. Um certificado de uma CA não aprovada não funcionará com Gmail ou Apple Mail.

Próximos Passos

Antes de adquirir um VMC, certifique-se de que sua fundação BIMI está estabelecida:

  1. Aplicação de DMARC — Seu domínio deve ter uma política DMARC de p=quarantine ou p=reject.
  2. Conformidade do logotipo SVG — Seu logotipo deve estar em conformidade com o perfil BIMI SVG Tiny P/S.
  3. Registro de marca — Seu logotipo deve estar registrado como marca em uma jurisdição reconhecida pela MVA escolhida.

Comece com makeBIMI.com e veriBIMI.com

  • makeBIMI.com — Converta seu logotipo para um arquivo SVG Tiny PS compatível com BIMI gratuitamente, e execute uma auditoria DMARC completa em seu domínio antes de solicitar um VMC.
  • veriBIMI.com — Corretora de VMC agnóstica de CA para equipes corporativas. Compare preços e prazos de emissão entre todas as MVAs aprovadas — DigiCert, Sectigo e GlobalSign — em uma única plataforma, sem dependência de fornecedor.