Technical Reference · 2026 Edition

Por que a Let's Encrypt não emite certificados BIMI (VMC/CMC)

A Let's Encrypt não pode emitir Verified Mark Certificates (VMC) ou Common Mark Certificates (CMC) porque a emissão de certificados BIMI requer verificação manual de marca registrada que o protocolo ACME não consegue automatizar. Saiba por que os VMCs custam mais de US$ 1.000 e como o processo funciona.

Last updated min read

A lacuna da automação.

A Let's Encrypt é uma das autoridades certificadoras mais bem-sucedidas da história da internet. Ela emitiu bilhões de certificados TLS, impulsionou a adoção de HTTPS em toda a web e fez tudo isso de forma totalmente gratuita. Então, quando as organizações começam a implementar BIMI e descobrem que os Mark Certificates custam mais de US$ 1.000 por ano, a pergunta natural aparece em fóruns e threads de suporte quase que imediatamente:

"Por que a Let's Encrypt não pode simplesmente emitir VMCs?"

A resposta curta: o protocolo ACME automatiza a validação de controle de domínio. Os certificados BIMI exigem algo fundamentalmente diferente — julgamento humano sobre propriedade de marca registrada e identidade de marca. Essas duas coisas não são conciliáveis com o mesmo conjunto de ferramentas.

Este artigo explica as razões estruturais do porquê, o que o processo de verificação para VMCs e CMCs realmente envolve, e por que a diferença de custo entre um certificado TLS gratuito e um Mark Certificate de mais de US$ 1.000 não é precificação arbitrária — ela reflete trabalho manual genuíno realizado por examinadores credenciados.


Contexto: O que a Let's Encrypt realmente faz

A Let's Encrypt opera com o protocolo ACME (Automated Certificate Management Environment, RFC 8555). Todo o modelo é construído em torno de uma pergunta:

A entidade solicitando este certificado controla o nome de domínio em questão?

Para responder essa pergunta automaticamente, a Let's Encrypt usa um de três tipos de desafio:

  1. HTTP-01 — Colocar um token específico em uma URL conhecida no domínio.
  2. DNS-01 — Publicar um registro TXT específico na zona DNS do domínio.
  3. TLS-ALPN-01 — Responder a um handshake TLS na porta 443 com um certificado específico.

Se o desafio for bem-sucedido, o controle do domínio está comprovado. O certificado é emitido em segundos. Nenhum humano revisa a solicitação. Nenhum humano poderia revisar a solicitação — a Let's Encrypt emite milhões de certificados por dia.

Este modelo funciona precisamente porque o controle de domínio é um fato binário, verificável por máquina. Ou o token está presente ou não está.


O que um certificado BIMI Mark Certificate realmente certifica

Um Verified Mark Certificate (VMC) ou Common Mark Certificate (CMC) não certifica controle de domínio. Ele certifica algo categoricamente diferente:

Que um logotipo SVG específico está legitimamente associado a uma organização específica, e que a organização tem o direito de exibir esse logotipo em clientes de e-mail.

Para fazer essa afirmação, uma autoridade certificadora deve responder perguntas que não têm resposta verificável por máquina:

  1. Esta organização possui ou licencia a marca registrada representada no logotipo?
  2. O arquivo SVG é uma representação fiel dessa marca registrada?
  3. O logotipo tem sido usado de forma contínua e pública por tempo suficiente para se qualificar sob as regras de uso histórico do CMC?
  4. A organização é a mesma entidade jurídica nomeada no registro da marca?

Nenhuma dessas perguntas pode ser resolvida colocando um arquivo em um servidor web.


O processo de verificação do VMC: o que os examinadores realmente fazem

Os Verificadores de Marca Credenciados (AMVs) — o pequeno número de CAs autorizadas a emitir VMCs, atualmente incluindo DigiCert e Entrust — seguem um fluxo de trabalho de exame definido para cada solicitação. Os passos abaixo refletem os requisitos publicados pelo BIMI Working Group e as diretrizes de Mark Certificate do CA/Browser Forum.

1. Verificação do registro de marca

O examinador recupera o registro da marca do registro nacional ou internacional relevante (USPTO, EUIPO, WIPO, INPI, etc.) e confirma:

  • A marca está registrada (não apenas solicitada).
  • O registro está ativo e não expirado, cancelado ou abandonado.
  • As classes de produtos e serviços são consistentes com o negócio do solicitante.
  • O titular do registro corresponde à entidade jurídica que está enviando a solicitação de certificado.

Esta etapa requer acesso a múltiplos bancos de dados de marcas, conhecimento de direito internacional de propriedade intelectual e julgamento sobre casos limítrofes — por exemplo, se uma renovação pendente constitui um registro vencido.

2. Revisão da correspondência entre logotipo e marca registrada

O examinador compara o arquivo SVG enviado com o espécime da marca registrada e determina se eles são substancialmente a mesma marca. Isso não é uma operação de comparação de pixels. Requer avaliação humana de:

  • Equivalência estilística entre diferentes formatos de arquivo.
  • Se variações de cor estão dentro da tolerância aceitável.
  • Se versões simplificadas ou adaptadas ainda representam a marca registrada.

3. Verificação de conformidade técnica do SVG

O SVG deve estar em conformidade com o perfil BIMI SVG Tiny P/S — um subconjunto restrito do SVG 1.2 Tiny. Os examinadores verificam se o arquivo:

  • Não contém imagens rasterizadas incorporadas.
  • Não usa JavaScript ou referências externas.
  • Inclui o elemento </code> correto.</li> <li class="md-li">Renderiza corretamente dentro de um viewport quadrado.</li> </ul> <p class="md-p"> Esta é a única etapa parcialmente automatizável, e várias CAs executam pré-verificações automatizadas. No entanto, verificações automatizadas não substituem a aprovação do examinador. </p> <h3 id="4-verifica-o-de-identidade-organizacional" class="md-h3">4. Verificação de identidade organizacional</h3> <p class="md-p"> O examinador confirma que o solicitante do certificado é a mesma entidade jurídica nomeada no registro da marca. Isso tipicamente envolve: </p> <ul class="md-ul"> <li class="md-li">Revisar documentos de constituição ou registros comerciais equivalentes.</li> <li class="md-li">Confirmar que o representante autorizado do solicitante tem poderes para assinar.</li> <li class="md-li">Cruzar referências com registros de identidade existentes se a organização tiver certificados anteriores.</li> </ul> <h3 id="5-verifica-o-de-uso-hist-rico-do-cmc-quando-aplic-vel" class="md-h3">5. Verificação de uso histórico do CMC (quando aplicável)</h3> <p class="md-p"> Common Mark Certificates — introduzidos para apoiar logotipos que são amplamente reconhecidos, mas não formalmente registrados como marcas — exigem um padrão de evidência diferente. Em vez de um número de registro, o solicitante deve demonstrar <strong>uso contínuo e público</strong> do logotipo durante um período qualificador. </p> <p class="md-p"> É aqui que o <strong>Wayback Machine</strong> (Internet Archive) e registros web históricos similares se tornam relevantes. Os examinadores: </p> <ol class="md-ol"> <li class="md-li">Pesquisam no Internet Archive por capturas datadas da presença web da organização mostrando o logotipo.</li> <li class="md-li">Verificam se o logotipo visível nas capturas históricas é <strong>substancialmente o mesmo</strong> que o SVG enviado.</li> <li class="md-li">Confirmam que as capturas abrangem a duração exigida sem lacunas significativas.</li> <li class="md-li">Avaliam se o uso histórico era genuinamente voltado ao público, não interno ou incidental.</li> </ol> <p class="md-p"> Este processo é inerentemente manual. O Wayback Machine não expõe uma API que retorna uma "pontuação de continuidade de logotipo" estruturada. Um examinador deve recuperar as capturas, inspecioná-las visualmente e fazer um julgamento. Casos limítrofes — uma reformulação do site no meio do período, uma atualização de logotipo, uma mudança de domínio — exigem correspondência com o solicitante e documentação adicional. </p> <hr class="md-hr" /> <h2 id="por-que-o-protocolo-acme-n-o-consegue-preencher-essa-lacuna" class="md-h2">Por que o protocolo ACME não consegue preencher essa lacuna</h2> <p class="md-p"> O protocolo ACME foi projetado para automatizar <strong>prova criptográfica de controle</strong>. Os desafios que ele define produzem resultados que são válidos ou inválidos sem ambiguidade. </p> <p class="md-p"> A verificação de Mark Certificate produz resultados que são <strong>julgamentos, não provas</strong>. Considere: </p> <p class="md-p"> | Etapa de verificação | Verificável por máquina? | Motivo | |---|---|---| | Controle de domínio (certificado TLS) | <strong>Sim</strong> | Presença do token é binária | | Status do registro de marca | Parcialmente | APIs de registros existem, mas interpretação requer contexto legal | | Correspondência logotipo-marca | <strong>Não</strong> | Requer julgamento visual e legal | | Conformidade técnica do SVG | Parcialmente | Pré-verificações automatizadas possíveis, não suficientes sozinhas | | Identidade organizacional | <strong>Não</strong> | Requer revisão de documentos | | Uso histórico de logotipo CMC | <strong>Não</strong> | Requer pesquisa em arquivos e comparação visual | </p> <p class="md-p"> Mesmo que uma versão futura do ACME fosse estendida com novos tipos de desafio, não existe resposta de desafio que possa provar "este SVG é uma representação fiel do registro de marca número 5.678.901." Essa determinação requer um examinador humano qualificado. </p> <hr class="md-hr" /> <h2 id="por-que-vmcs-custam-us-1-000-ou-mais" class="md-h2">Por que VMCs custam US$ 1.000 ou mais</h2> <p class="md-p"> O preço de um VMC reflete o custo do processo de exame descrito acima, não o custo das operações criptográficas envolvidas na emissão de um certificado. Essas operações são trivialmente baratas. </p> <p class="md-p"> Os componentes de custo são: </p> <ol class="md-ol"> <li class="md-li"><strong>Tempo do examinador</strong> — Um examinador de marcas qualificado revisando documentação, correspondendo-se com solicitantes e tomando decisões de determinação. Dependendo da complexidade, uma única solicitação pode exigir várias horas de tempo do examinador.</li> <li class="md-li"><strong>Acesso a bancos de dados de marcas</strong> — Acesso comercial ao USPTO, EUIPO, WIPO e outros registros não é gratuito para usuários de alto volume.</li> <li class="md-li"><strong>Responsabilidade e seguro</strong> — AMVs carregam responsabilidade profissional por suas determinações. Se um VMC for emitido incorretamente e permitir personificação de marca, a CA enfrenta exposição legal.</li> <li class="md-li"><strong>Sobrecarga de auditoria e conformidade</strong> — AMVs são</li> </ol> </div> <div class="doc-footer"> <a href="/" class="btn btn-primary">Convert Your Logo →</a> <a href="/check" class="btn btn-secondary">Audit Your Domain</a> </div> </main> </div> <footer> <div class="container footer-inner"> <div class="footer-left"> <span class="footer-copyright">© 2026 makeBIMI™</span> </div> <div class="footer-links"> <a href="/global" class="footer-link">Global</a> <a href="/knowledge">Learn</a> <a href="/certificates">VMC</a> <a href="https://veribimi.com" class="seo-link" rel="noopener">veriBIMI<sup style="font-size:0.45em; font-weight:400; color:rgba(247,248,248,0.28); position:relative; top:-0.5em; margin-left:1px; vertical-align:baseline;">℠</sup></a> <a href="https://veribimi.com/founder" rel="noopener">Founder</a> <a href="https://veribimi.com/privacy" rel="noopener">Privacy</a> </div> </div> </footer> <div class="cmd-overlay" id="cmd-overlay" role="dialog" aria-modal="true" aria-label="Command palette"> <div class="cmd-modal"> <div class="cmd-search-row"> <svg class="cmd-search-icon" width="15" height="15" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2"><circle cx="11" cy="11" r="8"/><path d="m21 21-4.35-4.35"/></svg> <input type="text" class="cmd-input" id="cmd-input" placeholder="Search documentation, navigate pages…" autocomplete="off" /> <span class="cmd-esc">ESC</span> </div> <div class="cmd-results" id="cmd-results"></div> <div class="cmd-footer"> <span><kbd>↑↓</kbd> Navigate</span> <span><kbd>↵</kbd> Select</span> <span><kbd>ESC</kbd> Close</span> </div> </div> </div> <div class="toast-container" id="toast-container"></div> <!-- Inject sections data for Cmd+K --> <script> window.DOC_SECTIONS = ; </script> <script src="/public/js/app.js?v4"></script> <script src="/public/js/toc.js?v4"></script> <script src="/public/js/interactions.js?v4"></script> <!-- ── COOKIE CONSENT BANNER (EU/EEA only, based on CF-IPCountry) ── --> <div id="cookie-consent-banner" style="display:none;" role="dialog" aria-label="Cookie consent"> <div class="cookie-consent-inner"> <p class="cookie-consent-text"> We use Google Analytics to understand how visitors use this tool. No advertising cookies are set. <a href="https://veribimi.com/privacy" rel="noopener" class="cookie-consent-link">Privacy Policy</a> </p> <div class="cookie-consent-actions"> <button class="cookie-consent-btn cookie-consent-accept" onclick="acceptCookies()">Accept</button> <button class="cookie-consent-btn cookie-consent-decline" onclick="declineCookies()">Decline</button> </div> </div> </div> <script> (function() { // Only show for EU/EEA countries (Cloudflare sets CF-IPCountry via meta tag injected server-side) var country = document.documentElement.getAttribute('data-country') || ''; var EU_COUNTRIES = ['AT','BE','BG','CY','CZ','DE','DK','EE','ES','FI','FR','GR','HR', 'HU','IE','IT','LT','LU','LV','MT','NL','PL','PT','RO','SE','SI','SK', 'IS','LI','NO','GB','CH']; // EEA + UK + Switzerland (nFADP) var consent = localStorage.getItem('makebimi_cookie_consent'); if (!consent && EU_COUNTRIES.indexOf(country) !== -1) { document.getElementById('cookie-consent-banner').style.display = 'block'; } if (consent === 'declined') { // Remove GA4 script if previously declined var scripts = document.querySelectorAll('script[src*="googletagmanager"]'); scripts.forEach(function(s) { s.parentNode && s.parentNode.removeChild(s); }); } })(); function acceptCookies() { localStorage.setItem('makebimi_cookie_consent', 'accepted'); document.getElementById('cookie-consent-banner').style.display = 'none'; } function declineCookies() { localStorage.setItem('makebimi_cookie_consent', 'declined'); document.getElementById('cookie-consent-banner').style.display = 'none'; // Disable GA4 for this session window['ga-disable-G-S1HG2ZB83B'] = true; } </script> </body> </html>