Technical Reference · 2026 Edition

Varför Let's Encrypt inte utfärdar BIMI-certifikat (VMC/CMC)

Let's Encrypt kan inte utfärda Verified Mark Certificates (VMC) eller Common Mark Certificates (CMC) eftersom BIMI-certifikatutfärdande kräver manuell varumärkesverifiering som ACME-protokollet inte kan automatisera. Lär dig varför VMC:er kostar 1 000+ dollar och hur processen fungerar.

Last updated min read

Automatiseringsklyftan.

Let's Encrypt är en av de mest framgångsrika certifikatutfärdarna i internets historia. De har utfärdat miljarder TLS-certifikat, drivit HTTPS-adoption över hela webben, och gjort allt detta helt gratis. Så när organisationer börjar implementera BIMI och upptäcker att Mark Certificates kostar uppemot 1 000 dollar per år, dyker den naturliga frågan upp i forum och supporttrådar nästan omedelbart:

"Varför kan inte Let's Encrypt bara utfärda VMC:er?"

Det korta svaret: ACME-protokollet automatiserar validering av domänkontroll. BIMI-certifikat kräver något fundamentalt annorlunda — mänsklig bedömning av varumärkesägandeskap och varumärkesidentitet. Dessa två saker går inte att förena med samma verktygskedja.

Den här artikeln förklarar de strukturella orsakerna till varför, vad verifieringsprocessen för VMC:er och CMC:er faktiskt innebär, och varför kostnadsgapet mellan ett gratis TLS-certifikat och ett Mark Certificate på 1 000+ dollar inte är godtycklig prissättning — det återspeglar genuint manuellt arbete utfört av ackrediterade granskare.


Bakgrund: Vad Let's Encrypt faktiskt gör

Let's Encrypt arbetar enligt ACME-protokollet (Automated Certificate Management Environment, RFC 8555). Hela modellen är byggd kring en enda fråga:

Kontrollerar den entitet som begär detta certifikat domännamnet i fråga?

För att besvara den frågan automatiskt använder Let's Encrypt en av tre utmaningstyper:

  1. HTTP-01 — Placera en specifik token på en känd URL på domänen.
  2. DNS-01 — Publicera en specifik TXT-post i domänens DNS-zon.
  3. TLS-ALPN-01 — Svara på en TLS-handskakning på port 443 med ett specifikt certifikat.

Om utmaningen lyckas är domänkontroll bevisad. Certifikatet utfärdas på sekunder. Ingen människa granskar begäran. Ingen människa skulle kunna granska begäran — Let's Encrypt utfärdar miljontals certifikat per dag.

Denna modell fungerar just eftersom domänkontroll är ett binärt, maskinverifierbart faktum. Antingen finns token där eller så gör den inte det.


Vad ett BIMI Mark Certificate faktiskt certifierar

Ett Verified Mark Certificate (VMC) eller Common Mark Certificate (CMC) certifierar inte domänkontroll. Det certifierar något kategoriskt annorlunda:

Att en specifik SVG-logotyp är legitimt associerad med en specifik organisation, och att organisationen har rätt att visa den logotypen i e-postklienter.

För att göra det påståendet måste en certifikatutfärdare besvara frågor som inte har något maskinverifierbart svar:

  1. Äger eller licensierar denna organisation varumärket som avbildas i logotypen?
  2. Är SVG-filen en trogen representation av det registrerade varumärket?
  3. Har logotypen använts kontinuerligt och offentligt tillräckligt länge för att kvalificera enligt CMC:s regler för historisk användning?
  4. Är organisationen samma juridiska person som namnges i varumärkesregistreringen?

Ingen av dessa frågor kan lösas genom att placera en fil på en webbserver.


VMC-verifieringsprocessen: vad granskare faktiskt gör

Ackrediterade Mark Verifiers (AMV:er) — det lilla antal certifikatutfärdare som är auktoriserade att utfärda VMC:er, för närvarande inklusive DigiCert och Entrust — följer ett definierat granskningsarbetsflöde för varje ansökan. Stegen nedan återspeglar de publicerade kraven från BIMI Working Group och CA/Browser Forums riktlinjer för Mark Certificate.

1. Verifiering av varumärkesregistrering

Granskaren hämtar varumärkesregistreringsposten från relevant nationellt eller internationellt register (USPTO, EUIPO, WIPO, PRV, etc.) och bekräftar:

  • Varumärket är registrerat (inte bara ansökt om).
  • Registreringen är aktiv och inte utgången, avregistrerad eller övergiven.
  • Varu- och tjänsteklasserna är förenliga med sökandens verksamhet.
  • Innehavaren av registreringen matchar den juridiska person som lämnar in certifikatbegäran.

Detta steg kräver tillgång till flera varumärkesdatabaser, kunskap om internationell immaterialrätt och bedömning av gränsfall — till exempel huruvida en pågående förnyelse utgör en förfallen registrering.

2. Granskning av logotyp-till-varumärke-överensstämmelse

Granskaren jämför den inlämnade SVG-filen mot varumärkesexemplaret i registret och avgör om de är i huvudsak samma märke. Detta är inte en pixeljämförelse. Det kräver mänsklig bedömning av:

  • Stilistisk likvärdighet mellan olika filformat.
  • Huruvida färgvariationer ligger inom acceptabel tolerans.
  • Huruvida förenklade eller anpassade versioner fortfarande representerar det registrerade varumärket.

3. Teknisk SVG-kompatibilitetskontroll

SVG-filen måste överensstämma med BIMI SVG Tiny P/S-profilen — en begränsad delmängd av SVG 1.2 Tiny. Granskare verifierar att filen:

  • Inte innehåller inbäddade rasterbilder.
  • Inte använder JavaScript eller externa referenser.
  • Inkluderar korrekt </code>-element.</li> <li class="md-li">Renderas korrekt inom en kvadratisk viewport.</li> </ul> <p class="md-p"> Detta är det enda steget som är delvis automatiserbart, och flera certifikatutfärdare kör automatiserade förkontroller. Automatiserade kontroller ersätter dock inte granskarens godkännande. </p> <h3 id="4-verifiering-av-organisationsidentitet" class="md-h3">4. Verifiering av organisationsidentitet</h3> <p class="md-p"> Granskaren bekräftar att certifikatsökanden är samma juridiska person som namnges i varumärkesregistreringen. Detta innebär vanligtvis: </p> <ul class="md-ul"> <li class="md-li">Granskning av bolagshandlingar eller motsvarande företagsregistreringar.</li> <li class="md-li">Bekräftelse av att sökandens behöriga företrädare har firmateckningsrätt.</li> <li class="md-li">Korsreferering mot befintliga identitetsposter om organisationen har tidigare certifikat.</li> </ul> <h3 id="5-cmc-verifiering-av-historisk-anv-ndning-d-r-till-mpligt" class="md-h3">5. CMC-verifiering av historisk användning (där tillämpligt)</h3> <p class="md-p"> Common Mark Certificates — införda för att stödja logotyper som är allmänt erkända men inte formellt registrerade som varumärken — kräver en annan bevisstandard. Istället för ett registreringsnummer måste sökanden visa <strong>kontinuerlig, offentlig användning</strong> av logotypen under en kvalificerande period. </p> <p class="md-p"> Det är här <strong>Wayback Machine</strong> (Internet Archive) och liknande historiska webbarkiv blir relevanta. Granskare: </p> <ol class="md-ol"> <li class="md-li">Söker i Internet Archive efter daterade arkivkopior av organisationens webnärvaro som visar logotypen.</li> <li class="md-li">Verifierar att logotypen synlig i historiska arkivkopior är <strong>i huvudsak samma</strong> som den inlämnade SVG-filen.</li> <li class="md-li">Bekräftar att arkivkopiorna sträcker sig över den erforderliga tidsperioden utan betydande luckor.</li> <li class="md-li">Bedömer om den historiska användningen var genuint offentlig, inte intern eller tillfällig.</li> </ol> <p class="md-p"> Denna process är till sin natur manuell. Wayback Machine exponerar inte ett API som returnerar ett strukturerat "logotypkontinuitetspoäng". En granskare måste hämta arkivkopior, visuellt inspektera dem och göra en bedömning. Gränsfall — en webbplatsomdesign mitt i perioden, en logotypuppdatering, ett domänbyte — kräver korrespondens med sökanden och ytterligare dokumentation. </p> <hr class="md-hr" /> <h2 id="varf-r-acme-protokollet-inte-kan-verbrygga-denna-klyfta" class="md-h2">Varför ACME-protokollet inte kan överbrygga denna klyfta</h2> <p class="md-p"> ACME-protokollet är utformat för att automatisera <strong>kryptografiskt bevis på kontroll</strong>. De utmaningar det definierar producerar resultat som antingen är giltiga eller ogiltiga utan någon tvetydighet. </p> <p class="md-p"> Mark Certificate-verifiering producerar resultat som är <strong>bedömningar, inte bevis</strong>. Betrakta: </p> <p class="md-p"> | Verifieringssteg | Maskinverifierbart? | Anledning | |---|---|---| | Domänkontroll (TLS-cert) | <strong>Ja</strong> | Tokennärvaro är binär | | Varumärkesregistreringsstatus | Delvis | Register-API:er finns, men tolkning kräver juridisk kontext | | Logotyp-till-varumärke-överensstämmelse | <strong>Nej</strong> | Kräver visuell och juridisk bedömning | | Teknisk SVG-kompatibilitet | Delvis | Automatiserade förkontroller möjliga, inte tillräckliga ensamma | | Organisationsidentitet | <strong>Nej</strong> | Kräver dokumentgranskning | | CMC historisk logotypanvändning | <strong>Nej</strong> | Kräver arkivforskning och visuell jämförelse | </p> <p class="md-p"> Även om en framtida version av ACME utökades med nya utmaningstyper, finns det inget utmaningssvar som kan bevisa "denna SVG är en trogen representation av varumärkesregistreringsnummer 5 678 901." Det avgörandet kräver en kvalificerad mänsklig granskare. </p> <hr class="md-hr" /> <h2 id="varf-r-vmc-er-kostar-1-000-dollar-eller-mer" class="md-h2">Varför VMC:er kostar 1 000 dollar eller mer</h2> <p class="md-p"> Priset på en VMC återspeglar kostnaden för den granskningsprocess som beskrivs ovan, inte kostnaden för de kryptografiska operationerna som är involverade i att utfärda ett certifikat. Dessa operationer är trivialt billiga. </p> <p class="md-p"> Kostnadskomponenterna är: </p> <ol class="md-ol"> <li class="md-li"><strong>Granskartid</strong> — En kvalificerad varumärkesgranskare som granskar dokumentation, korresponderar med sökande och fattar avgörandebeslut. Beroende på komplexitet kan en enda ansökan kräva flera timmars granskartid.</li> <li class="md-li"><strong>Tillgång till varumärkesdatabaser</strong> — Kommersiell tillgång till USPTO, EUIPO, WIPO och andra register är inte gratis för högvolymanvändare.</li> <li class="md-li"><strong>Ansvar och försäkring</strong> — AMV:er har professionellt ansvar för sina avgöranden. Om en VMC utfärdas felaktigt och möjliggör varumärkesförfalskning, står certifikatutfärdaren inför juridisk exponering.</li> <li class="md-li"><strong>Revision och efterlevnadskostnader</strong> — AMV:er är</li> </ol> </div> <div class="doc-footer"> <a href="/" class="btn btn-primary">Convert Your Logo →</a> <a href="/check" class="btn btn-secondary">Audit Your Domain</a> </div> </main> </div> <footer> <div class="container footer-inner"> <div class="footer-left"> <span class="footer-copyright">© 2026 makeBIMI™</span> </div> <div class="footer-links"> <a href="/global" class="footer-link">Global</a> <a href="/knowledge">Learn</a> <a href="/certificates">VMC</a> <a href="https://veribimi.com" class="seo-link" rel="noopener">veriBIMI<sup style="font-size:0.45em; font-weight:400; color:rgba(247,248,248,0.28); position:relative; top:-0.5em; margin-left:1px; vertical-align:baseline;">℠</sup></a> <a href="https://veribimi.com/founder" rel="noopener">Founder</a> <a href="https://veribimi.com/privacy" rel="noopener">Privacy</a> </div> </div> </footer> <div class="cmd-overlay" id="cmd-overlay" role="dialog" aria-modal="true" aria-label="Command palette"> <div class="cmd-modal"> <div class="cmd-search-row"> <svg class="cmd-search-icon" width="15" height="15" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2"><circle cx="11" cy="11" r="8"/><path d="m21 21-4.35-4.35"/></svg> <input type="text" class="cmd-input" id="cmd-input" placeholder="Search documentation, navigate pages…" autocomplete="off" /> <span class="cmd-esc">ESC</span> </div> <div class="cmd-results" id="cmd-results"></div> <div class="cmd-footer"> <span><kbd>↑↓</kbd> Navigate</span> <span><kbd>↵</kbd> Select</span> <span><kbd>ESC</kbd> Close</span> </div> </div> </div> <div class="toast-container" id="toast-container"></div> <!-- Inject sections data for Cmd+K --> <script> window.DOC_SECTIONS = ; </script> <script src="/public/js/app.js?v4"></script> <script src="/public/js/toc.js?v4"></script> <script src="/public/js/interactions.js?v4"></script> <!-- ── COOKIE CONSENT BANNER (EU/EEA only, based on CF-IPCountry) ── --> <div id="cookie-consent-banner" style="display:none;" role="dialog" aria-label="Cookie consent"> <div class="cookie-consent-inner"> <p class="cookie-consent-text"> We use Google Analytics to understand how visitors use this tool. No advertising cookies are set. <a href="https://veribimi.com/privacy" rel="noopener" class="cookie-consent-link">Privacy Policy</a> </p> <div class="cookie-consent-actions"> <button class="cookie-consent-btn cookie-consent-accept" onclick="acceptCookies()">Accept</button> <button class="cookie-consent-btn cookie-consent-decline" onclick="declineCookies()">Decline</button> </div> </div> </div> <script> (function() { // Only show for EU/EEA countries (Cloudflare sets CF-IPCountry via meta tag injected server-side) var country = document.documentElement.getAttribute('data-country') || ''; var EU_COUNTRIES = ['AT','BE','BG','CY','CZ','DE','DK','EE','ES','FI','FR','GR','HR', 'HU','IE','IT','LT','LU','LV','MT','NL','PL','PT','RO','SE','SI','SK', 'IS','LI','NO','GB','CH']; // EEA + UK + Switzerland (nFADP) var consent = localStorage.getItem('makebimi_cookie_consent'); if (!consent && EU_COUNTRIES.indexOf(country) !== -1) { document.getElementById('cookie-consent-banner').style.display = 'block'; } if (consent === 'declined') { // Remove GA4 script if previously declined var scripts = document.querySelectorAll('script[src*="googletagmanager"]'); scripts.forEach(function(s) { s.parentNode && s.parentNode.removeChild(s); }); } })(); function acceptCookies() { localStorage.setItem('makebimi_cookie_consent', 'accepted'); document.getElementById('cookie-consent-banner').style.display = 'none'; } function declineCookies() { localStorage.setItem('makebimi_cookie_consent', 'declined'); document.getElementById('cookie-consent-banner').style.display = 'none'; // Disable GA4 for this session window['ga-disable-G-S1HG2ZB83B'] = true; } </script> </body> </html>