Vad är en Mark Verifying Authority (MVA)? Så utfärdas VMC-certifikat
Lär dig hur MVA-ekosystemet fungerar, vilka Certificate Authorities som är godkända att utfärda Verified Mark Certificates, och varför köp från en icke-godkänd CA kan sabotera din BIMI-implementation.
Certifikatkedjan: Vad är en Mark Verifying Authority (MVA)?
Ett Verified Mark Certificate (VMC) utfärdas inte av vilken Certificate Authority som helst. För att utfärda VMC-certifikat måste en CA först erhålla beteckningen Mark Verifying Authority (MVA) — en status som endast beviljas efter att ha uppfyllt ett rigoröst ramverk av tekniska, operativa och revisionskrav definierade av AuthIndicators Working Group (allmänt känd som BIMI Group).
Att förstå MVA-ekosystemet är avgörande innan du köper ett VMC. Köper du från en icke-godkänd källa kommer ditt certifikat inte att erkännas av Gmail, Apple Mail eller någon annan BIMI-kapabel e-postklient — och din varumärkeslogotyp kommer inte att visas i inkorgen.
Vad är en Mark Verifying Authority?
En Mark Verifying Authority (MVA) är en Certificate Authority som formellt har godkänts av AuthIndicators Working Group för att utfärda VMC-certifikat. MVA:n utför två kritiska funktioner:
- Varumärkesverifiering — Bekräftar att organisationen som ansöker om VMC är den legitima ägaren av varumärket kopplat till logotypen.
- Certifikatutfärdande — Utfärdar ett kryptografiskt signerat VMC som binder det verifierade varumärket till en SVG-logotypfil och en domän.
E-postmottagare som Google och Apple litar endast på VMC-certifikat utfärdade av godkända MVA:er. Om ett certifikat utfärdas av en CA utanför denna godkända lista misslyckas hela BIMI-valideringen tyst — ingen logotyp visas och inget fel kommuniceras till avsändaren.
Godkända MVA:er 2025
AuthIndicators Working Group upprätthåller den officiella listan över godkända MVA:er. År 2025 innehar tre Certificate Authorities MVA-status:
| MVA | Anmärkningar | |---|---| | DigiCert | Första godkända MVA; utfärdar VMC-certifikat under varumärket DigiCert | | Sectigo | Utfärdar VMC-certifikat; historiskt stark inom S/MIME och kodsignering | | GlobalSign | Utfärdar VMC-certifikat; stark närvaro inom enterprise PKI |
Viktigt: Denna lista förändras i takt med att nya CA:er genomgår godkännandeprocessen. Verifiera alltid aktuell MVA-status på AuthIndicators Working Group innan köp.
Hur en CA blir en MVA
Godkännandeprocessen är avsiktligt krävande. En CA måste uppfylla samtliga krav nedan innan BIMI Group beviljar MVA-status.
1. Publicera en Certification Practice Statement (CPS)
CA:n måste publicera en Certification Practice Statement — ett detaljerat offentligt dokument som exakt beskriver hur den utfärdar, hanterar, återkallar och förnyar VMC-certifikat. CPS:en måste specifikt adressera VMC-utfärdandeprocedurer och arbetsflöden för varumärkesverifiering.
2. Logga till Certificate Transparency (CT)-loggar
Varje utfärdat VMC måste skickas till Certificate Transparency-loggar — offentligt granskningsbara, append-only-register över alla utfärdade certifikat. Detta gör det möjligt för e-postmottagare, forskare och domänägare att upptäcka felaktigt utfärdade eller bedrägliga certifikat.
3. Etablera infrastruktur för certifikatåterkallelse
CA:n måste driva och underhålla Certificate Revocation Lists (CRL:er) — eller motsvarande OCSP-responders — så att komprometterade eller felaktigt utfärdade VMC-certifikat kan återkallas omgående. E-postmottagare kontrollerar återkallelsestatus innan de visar en logotyp.
4. Genomgå WebTrust VMC-revisioner
CA:n måste beställa och klara en WebTrust for VMC-revision utförd av en ackrediterad tredjepartsrevisor. WebTrust-revisioner bedömer huruvida CA:ns faktiska praxis överensstämmer med dess publicerade CPS. Dessa revisioner upprepas årligen, vilket skapar en fortlöpande efterlevnadsbörda.
5. Registrera sig i CCADB
CA:n måste vara registrerad i Common CA Database (CCADB) — det delade arkiv som används av Mozilla, Microsoft, Apple och Google för att spåra betrodda Certificate Authorities. CCADB-registrering är en förutsättning för varje CA som söker förtroende från stora plattformsleverantörer.
Varför VMC-certifikat kostar 10 000 kr eller mer
Efterlevnadsinfrastrukturen som beskrivs ovan är kostsam att bygga och underhålla. Varje godkänd MVA måste:
- Finansiera årliga WebTrust-revisioner (typiskt tiotusentals kronor per revisionscykel)
- Driva högtillgängliga pipelines för CT-loggning
- Underhålla CRL- och OCSP-infrastruktur dygnet runt
- Bemanna varumärkesverifieringsteam kapabla att validera IP-ägande över globala varumärkesregister
- Upprätthålla CCADB-registrering och svara på policyförändringar från webbläsar- och e-postplattformsleverantörer
Dessa kostnader förs vidare till köparna. Ett VMC prissatt under marknadspriset på 10 000–15 000 kr per år bör betraktas som en varningsflagga — det kan indikera att den utfärdande CA:n inte har genomgått den fullständiga MVA-godkännandeprocessen.
Varför detta spelar roll när du köper ett VMC
Endast godkända MVA:er producerar accepterade certifikat
Gmail och Apple Mail validerar hela certifikatkedjan innan de visar en BIMI-logotyp. Om den utfärdande CA:n inte finns på den godkända MVA-listan misslyckas kedjevalideringen och ingen logotyp visas. Det finns ingen reservlösning, ingen varning och ingen partiell visning.
Varumärkesverifiering är ett juridiskt krav, inte en formalitet
MVA:er är skyldiga att bekräfta varumärkesägande genom officiella varumärkesregister (USPTO, EUIPO, WIPO med flera). Detta steg skyddar både e-postekosystemet och ditt varumärke. Ett VMC utfärdat utan korrekt varumärkesverifiering är icke-compliant och kan återkallas.
Återkallelse kan ske när som helst
Om en MVA upptäcker att ett certifikat utfärdades felaktigt — eller om din varumärkesregistrering upphör att gälla — kan VMC:t återkallas. Eftersom e-postmottagare kontrollerar återkallelsestatus i nära realtid orsakar ett återkallat VMC omedelbar logotypförsvinnande i alla inkorgar.
Viktiga slutsatser
- MVA-status beviljas av AuthIndicators Working Group, inte självdeklarerat av en CA.
- Tre MVA:er är för närvarande godkända: DigiCert, Sectigo och GlobalSign.
- Godkännandeprocessen kräver publicerad CPS, CT-loggning, CRL-infrastruktur, WebTrust-revisioner och CCADB-registrering.
- Höga VMC-priser återspeglar verkliga efterlevnadskostnader — inte godtyckliga marginaler.
- Verifiera alltid MVA-status före köp. Ett certifikat från en icke-godkänd CA kommer inte att fungera med Gmail eller Apple Mail.
Nästa steg
Innan du köper ett VMC, säkerställ att din BIMI-grund är på plats:
- DMARC-enforcement — Din domän måste ha en DMARC-policy på
p=quarantineellerp=reject. - SVG-logotypefterlevnad — Din logotyp måste överensstämma med BIMI:s SVG Tiny P/S-profil.
- Varumärkesregistrering — Din logotyp måste vara registrerad som varumärke i en jurisdiktion som erkänns av din valda MVA.
Kom igång med makeBIMI.com och veriBIMI.com
- makeBIMI.com — Konvertera din logotyp till en BIMI-kompatibel SVG Tiny PS-fil gratis, och kör en fullständig DMARC-granskning på din domän innan du ansöker om ett VMC.
- veriBIMI.com — CA-agnostisk VMC-förmedling för enterpriseteam. Jämför priser och utfärdandetider över alla godkända MVA:er — DigiCert, Sectigo och GlobalSign — från en enda plattform, utan leverantörsinlåsning.