Technical Reference · 2026 Edition

什么是商标验证机构 (MVA)?VMC 的颁发流程详解

深入了解 MVA 生态系统的运作机制、哪些证书颁发机构有权颁发验证标记证书,以及为什么从未经授权的 CA 购买证书会导致 BIMI 部署失败。

Last updated min read

证书信任链:什么是商标验证机构 (MVA)?

验证标记证书 (VMC) 并非任何证书颁发机构都能签发。要颁发 VMC,CA 必须首先获得商标验证机构 (MVA) 资质——这一身份只有在满足 AuthIndicators 工作组(通常称为 BIMI 工作组)制定的一系列严格的技术、运营和审计要求后才能获得。

在购买 VMC 之前,了解 MVA 生态系统至关重要。从未经授权的来源购买意味着您的证书将不被 Gmail、Apple Mail 或任何其他支持 BIMI 的邮件客户端识别——您的品牌标志将无法显示在收件箱中。


什么是商标验证机构?

商标验证机构 (MVA) 是经 AuthIndicators 工作组正式批准、有权颁发 VMC 的证书颁发机构。MVA 承担两项关键职能:

  1. 商标验证 — 确认申请 VMC 的组织是该标志所关联商标的合法所有者。
  2. 证书颁发 — 签发经过加密签名的 VMC,将经过验证的商标与 SVG 标志文件及域名进行绑定。

Google 和 Apple 等邮件接收方仅信任由授权 MVA 颁发的 VMC。如果证书由授权列表之外的 CA 颁发,整个 BIMI 声明将静默失败——不会显示标志,发件人也不会收到任何错误提示。


2025 年授权 MVA 名单

AuthIndicators 工作组维护着授权 MVA 的权威列表。截至 2025 年,共有三家证书颁发机构拥有 MVA 资质:

| MVA | 说明 | |---|---| | DigiCert | 首家获批的 MVA;以 DigiCert 品牌颁发 VMC | | Sectigo | 颁发 VMC;在 S/MIME 和代码签名领域实力雄厚 | | GlobalSign | 颁发 VMC;在企业 PKI 领域有广泛布局 |

重要提示: 随着新的 CA 完成审批流程,此列表会发生变化。购买前请务必在 AuthIndicators 工作组 核实当前的 MVA 资质状态。

CA 如何获得 MVA 资质

审批流程的严格程度是有意为之。CA 必须满足以下所有要求,BIMI 工作组才会授予 MVA 资质。

1. 发布证书实践声明 (CPS)

CA 必须发布证书实践声明——这是一份详细的公开文档,准确描述其如何签发、管理、撤销和续期 VMC。CPS 必须专门针对 VMC 签发流程和商标验证工作流程进行说明。

2. 提交到证书透明度 (CT) 日志

每份签发的 VMC 都必须提交到证书透明度日志——这是一个可公开审计、仅支持追加写入的证书签发记录。这使得邮件接收方、研究人员和域名所有者能够检测错误签发或欺诈性证书。

3. 建立证书撤销基础设施

CA 必须运营和维护证书撤销列表 (CRL)——或等效的 OCSP 响应服务——以便能够及时撤销被泄露或错误签发的 VMC。邮件接收方在显示标志前会检查撤销状态。

4. 通过 WebTrust VMC 审计

CA 必须委托经认可的第三方审计机构进行 WebTrust VMC 审计并通过审核。WebTrust 审计评估 CA 的实际操作是否与其发布的 CPS 一致。此类审计每年进行一次,形成持续的合规义务。

5. 在 CCADB 注册

CA 必须在通用 CA 数据库 (CCADB) 中注册——这是 Mozilla、Microsoft、Apple 和 Google 共同使用的可信证书颁发机构追踪数据库。CCADB 注册是任何寻求主流平台供应商信任的 CA 的前提条件。


为什么 VMC 价格在 1,000 美元以上

上述合规基础设施的建设和维护成本高昂。每家获批的 MVA 必须:

  • 支付年度 WebTrust 审计费用(每个审计周期通常需要数万美元)
  • 运营高可用性的 CT 日志提交管道
  • 维护全天候 CRL 和 OCSP 基础设施
  • 配备能够验证全球商标注册机构中知识产权所有权的商标验证团队
  • 维持 CCADB 注册资格并响应浏览器和邮件平台供应商的政策变更

这些成本会转嫁给买家。VMC 定价如果低于 每年 1,000-1,500 美元的市场价格,应当引起警惕——这可能意味着签发方 CA 尚未完成完整的 MVA 审批流程。


购买 VMC 时为何要关注这些问题

只有授权 MVA 签发的证书才会被接受

Gmail 和 Apple Mail 在显示 BIMI 标志前会验证整个证书链。如果签发方 CA 不在授权 MVA 列表中,链验证将失败,标志不会显示。没有降级方案、没有警告提示、也不会部分显示。

商标验证是法律要求,而非走过场

MVA 必须通过官方商标注册机构(USPTO、EUIPO、WIPO 等)确认商标所有权。这一步骤既保护邮件生态系统,也保护您的品牌。未经适当商标验证签发的 VMC 不合规且可被撤销。

证书随时可能被撤销

如果 MVA 发现证书签发不当——或者您的商标注册失效——VMC 可能被撤销。由于邮件接收方近乎实时地检查撤销状态,VMC 被撤销会导致标志立即从所有收件箱中消失。


核心要点

  • MVA 资质由 AuthIndicators 工作组授予,而非 CA 自行声明。
  • 目前有三家授权 MVA:DigiCert、Sectigo 和 GlobalSign。
  • 审批流程要求发布 CPS、CT 日志记录、CRL 基础设施、WebTrust 审计以及 CCADB 注册。
  • VMC 定价较高反映的是真实的合规成本——而非随意加价。
  • 购买前务必核实 MVA 资质。来自未授权 CA 的证书无法在 Gmail 或 Apple Mail 中生效。

后续步骤

在购买 VMC 之前,请确保您的 BIMI 基础已经就绪:

  1. DMARC 强制执行 — 您的域名必须设置 p=quarantinep=reject 的 DMARC 策略。
  2. SVG 标志合规 — 您的标志必须符合 BIMI SVG Tiny P/S 规范。
  3. 商标注册 — 您的标志必须在所选 MVA 认可的司法管辖区注册为商标。

开始使用 makeBIMI.com 和 veriBIMI.com

  • makeBIMI.com — 免费将您的标志转换为符合 BIMI 规范的 SVG Tiny PS 文件,并在申请 VMC 前对您的域名进行完整的 DMARC 审计
  • veriBIMI.com — 面向企业团队的 CA 无关 VMC 代理服务。在单一平台上比较所有授权 MVA(DigiCert、Sectigo 和 GlobalSign)的价格和签发时间,不受供应商锁定。