Aller au contenu principal
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

CaptainDNS héberge votre politique MTA-STS et votre logo BIMI, et surveille vos rapports DMARC et TLS-RPT automatiquement. Le tout gratuitement, sans serveur à gérer.

Google, Yahoo et Microsoft exigent désormais une authentification renforcée. Protégez votre délivrabilité en quelques clics.

MTA-STSBIMITLS-RPTDMARC Monitoring

Certificat VMC et CMC pour BIMI : choisir, acheter et déployer

Par CaptainDNS
Publié le 1 avril 2026

Schéma du parcours d'obtention d'un certificat VMC ou CMC pour BIMI
TL;DR
  • VMC pour les marques déposées (checkmark bleu Gmail, logo Apple Mail), CMC pour les entreprises sans marque déposée (logo Gmail sans checkmark)
  • Prix annuels : VMC de 749 à 1688 $, CMC de 650 à 1100 $, auxquels s'ajoute le coût de la marque déposée pour un VMC
  • Cinq autorités de certification proposent des certificats BIMI : DigiCert, Entrust, Sectigo, GlobalSign et SSL.com
  • CaptainDNS héberge gratuitement votre certificat VMC ou CMC avec extraction automatique des métadonnées et alertes d'expiration

Selon une analyse URIports de 2025, 53,6 % des enregistrements BIMI contiennent au moins une erreur. Plus de la moitié des domaines qui tentent d'afficher leur logo en boîte de réception échouent. Votre entreprise investit des semaines de travail, entre 700 et 3000 euros, et le logo n'apparaît pas dans Gmail. Pourquoi ? Dans la majorité des cas, ce n'est pas le DNS qui bloque, ni le format du logo : c'est le certificat. Le mauvais type de certificat, un processus de validation mal préparé, un fichier PEM mal hébergé, une marque déposée inadaptée. Le certificat est le point de friction principal du déploiement BIMI.

L'écosystème a pourtant évolué. Depuis septembre 2024, Gmail accepte les CMC (Common Mark Certificates) en plus des VMC (Verified Mark Certificates). Apple Mail continue d'exiger un VMC. Yahoo Mail affiche le logo sans aucun certificat. Trois fournisseurs majeurs, trois niveaux d'exigence différents. Pour les équipes techniques qui veulent déployer BIMI, la première question n'est plus "faut-il un certificat ?" mais "lequel, auprès de qui, à quel prix, et comment le déployer correctement ?".

Ce guide répond à ces questions. Il couvre le parcours complet, du choix entre VMC et CMC jusqu'au checkmark visible dans Gmail : comparatif objectif des cinq autorités de certification avec leurs prix réels, prérequis techniques détaillés, processus de validation étape par étape, hébergement du certificat PEM et déploiement DNS. Chaque section est conçue pour vous faire gagner du temps et éviter les erreurs qui retardent la mise en production de plusieurs semaines.

Hébergez votre certificat BIMI gratuitement

Héberger avec CaptainDNSVérifier votre record BIMI

VMC ou CMC : quel certificat BIMI choisir ?

C'est la première décision à prendre, et elle conditionne tout le reste : le budget, les documents à préparer, le délai d'obtention et les fonctionnalités disponibles chez chaque fournisseur de messagerie. Avant de contacter une autorité de certification, posez-vous trois questions.

Trois questions pour décider

1. Votre logo est-il lié à une marque déposée ?

Si votre logo est enregistré comme marque figurative auprès d'un office reconnu (INPI, USPTO, EUIPO, WIPO, etc.), vous pouvez prétendre à un VMC. Si vous n'avez pas de marque déposée, ou si votre marque est uniquement verbale (texte sans élément graphique), le CMC est votre seule option. Il n'existe pas de raccourci : sans marque figurative enregistrée, aucune autorité de certification n'émettra de VMC.

2. Avez-vous besoin du checkmark bleu dans Gmail ?

Le checkmark bleu (la coche de vérification bleue affichée à côté du nom de l'expéditeur dans Gmail) est réservé au VMC. Un CMC affiche le logo dans Gmail, mais sans ce marqueur visuel. Si le checkmark est un objectif stratégique pour votre marque (confiance des destinataires, différenciation face au phishing), le VMC est indispensable. Si l'affichage du logo suffit, le CMC remplit le rôle.

3. Quel budget pouvez-vous consacrer ?

Le VMC coûte entre 749 et 1688 $ par an selon l'autorité de certification. Le CMC coûte entre 650 et 1100 $ par an. Mais le VMC implique un coût supplémentaire souvent sous-estimé : la marque déposée elle-même. Un dépôt à l'INPI coûte environ 190 euros pour 10 ans (une classe), un dépôt à l'EUIPO environ 850 euros. Si vous n'avez pas encore de marque déposée, ajoutez ce montant au budget VMC, ainsi que le délai de plusieurs mois nécessaire à l'enregistrement.

Comparatif rapide VMC vs CMC

CritèreVMCCMC
Marque déposée requiseOui (figurative, active)Non
Gmail : affichage du logoOuiOui
Gmail : checkmark bleuOuiNon
Apple Mail : affichage du logoOuiNon
Yahoo Mail : affichage du logoNon requis (auto-déclaré suffit)Non requis
Prix annuel du certificat749-1688 $650-1100 $
Délai d'obtention typique2-6 semaines1-4 semaines
Preuve requiseMarque déposée + documents d'organisationUsage du logo depuis 12 mois + documents d'organisation

Le choix se résume à une décision stratégique. Le VMC offre le niveau de confiance maximal (checkmark Gmail, compatibilité Apple Mail) au prix d'une marque déposée et d'un budget plus élevé. Le CMC démocratise l'accès à BIMI pour les organisations sans marque déposée, avec un déploiement plus rapide et moins coûteux.

Pour un comparatif détaillé des différences techniques et de la compatibilité par fournisseur de messagerie, consultez le guide VMC, CMC et compatibilité DNS dans la section Guides connexes en fin d'article.

Les cinq autorités de certification BIMI comparées

Vous savez quel certificat vous convient. Reste la question suivante : auprès de qui l'acheter ? Cinq autorités de certification (CA) émettent des certificats BIMI. Leurs processus de validation sont similaires (tous suivent les exigences du BIMI Group), mais les prix, les délais et les services annexes varient significativement. L'écart entre la CA la moins chère et la plus chère atteint 100 % pour un certificat techniquement identique. Voici les données consolidées.

DigiCert

DigiCert est le leader historique du marché des certificats BIMI. C'est la première CA à avoir proposé des VMC lors du lancement de BIMI, et elle dispose de la plus grande base installée.

VMC : environ 1499 $ par an en tarif direct. Certains revendeurs autorisés proposent des prix légèrement inférieurs. DigiCert facture le certificat au domaine : un certificat par domaine émetteur.

CMC : environ 1099 $ par an. Le CMC est disponible depuis fin 2024 chez DigiCert, dans la foulée de l'annonce Gmail.

Processus de validation : validation d'organisation (OV) complète, vérification de la marque déposée (VMC) ou de la preuve d'usage (CMC), vérification du contrôle du domaine (DNS TXT ou email), soumission et validation du logo SVG Tiny-PS. DigiCert dispose d'une équipe de validation dédiée qui traite les dossiers BIMI.

Hébergement du PEM inclus : non. Le client doit héberger le fichier PEM sur son propre serveur ou via un service tiers.

Délai : 2 à 4 semaines pour un VMC (la vérification de la marque déposée est l'étape la plus longue), 1 à 3 semaines pour un CMC.

Points forts : expérience éprouvée (premier émetteur VMC), documentation abondante, support technique réactif, large réseau de revendeurs. DigiCert est le choix par défaut des grandes entreprises et des organisations qui privilégient la fiabilité du processus.

Entrust

Entrust est un acteur majeur des certificats numériques, avec une forte présence dans les secteurs bancaire, gouvernemental et entreprise. Sa solution BIMI s'intègre naturellement à son portefeuille de certificats TLS et de signature de code.

VMC : environ 1499 $ par an. Le positionnement tarifaire est aligné sur DigiCert.

CMC : environ 1099 $ par an.

Processus de validation : similaire à DigiCert. Validation d'organisation, vérification de la marque (VMC) ou de l'usage (CMC), vérification du domaine, validation du logo SVG. Entrust s'appuie sur ses équipes de validation existantes, ce qui peut accélérer le processus pour les clients qui ont déjà des certificats Entrust (la validation d'organisation est parfois réutilisable).

Hébergement du PEM inclus : non.

Délai : 2 à 4 semaines pour un VMC, 1 à 3 semaines pour un CMC. Les clients existants avec une validation d'organisation récente peuvent bénéficier de délais réduits.

Points forts : forte présence entreprise, intégration avec les solutions Entrust existantes (PKI managée, certificats TLS), processus de validation rodé pour les grandes organisations. Si votre entreprise utilise déjà Entrust pour ses certificats TLS ou sa PKI, le VMC/CMC s'intègre dans le même workflow d'approvisionnement.

Sectigo

Sectigo (anciennement Comodo CA) se positionne sur le segment prix avec les certificats BIMI les plus abordables du marché. Sectigo vend principalement via un réseau étendu de revendeurs (SSL Store, GoGetSSL, SSLs.com, entre autres), ce qui crée une forte compétition sur les prix.

VMC : environ 749 $ par an via les revendeurs les moins chers. Le prix peut varier entre 749 et 999 $ selon le revendeur et les promotions en cours. Le tarif direct Sectigo est légèrement plus élevé.

CMC : environ 649 $ par an via revendeurs. C'est le prix d'entrée le plus bas du marché pour un certificat BIMI.

Processus de validation : validation OV standard, vérification de la marque déposée (VMC) ou de la preuve d'usage (CMC), vérification du domaine, validation SVG. Le processus est globalement le même que chez DigiCert et Entrust, avec des exigences documentaires identiques (les CA suivent toutes les mêmes Mark Certificate Requirements du BIMI Group).

Hébergement du PEM inclus : non.

Délai : 1 à 3 semaines pour un VMC, 1 à 2 semaines pour un CMC. Sectigo est généralement plus rapide que DigiCert et Entrust sur les délais de validation, en partie parce que les dossiers sont traités par des équipes dédiées aux certificats de marque.

Points forts : prix les plus bas du marché, large réseau de revendeurs (facilité d'achat), délais de validation compétitifs. Sectigo est le choix naturel pour les organisations sensibles au budget qui veulent un VMC ou CMC sans payer le premium DigiCert/Entrust.

Point d'attention : le support technique varie fortement selon le revendeur. Certains revendeurs offrent un accompagnement minimal, ce qui peut compliquer le processus pour les équipes qui découvrent BIMI. Privilégiez un revendeur avec un support dédié si c'est votre premier certificat BIMI.

GlobalSign

GlobalSign est une CA internationale avec une forte présence en Europe et en Asie. Son offre BIMI est plus récente que celle de DigiCert ou Entrust, mais elle couvre les deux types de certificats.

VMC : environ 1299 $ par an. Le positionnement tarifaire se situe entre Sectigo et le duo DigiCert/Entrust.

CMC : environ 999 $ par an.

Processus de validation : standard BIMI Group. Validation d'organisation, vérification de la marque ou de l'usage, vérification du domaine, validation SVG. GlobalSign dispose d'une infrastructure de validation internationale qui peut être un avantage pour les organisations multi-pays.

Hébergement du PEM inclus : non.

Délai : 2 à 4 semaines pour un VMC, 1 à 3 semaines pour un CMC.

Points forts : présence internationale (bureaux en Europe, Asie, Amérique), support multilingue, expérience de la validation d'organisation pour les entreprises non-américaines. Si votre organisation est basée hors des États-Unis et que vous rencontrez des difficultés avec la validation chez les CA américaines, GlobalSign peut offrir un processus plus fluide.

SSL.com

SSL.com est un acteur plus petit qui a étendu son offre aux certificats BIMI. La CA propose des VMC et CMC, principalement via ses canaux directs et quelques revendeurs partenaires.

VMC : environ 999 $ par an en tarif direct, avec des prix pouvant descendre à 749 $ via certains revendeurs.

CMC : environ 749 $ par an.

Processus de validation : standard BIMI Group, similaire aux autres CA.

Hébergement du PEM inclus : non.

Délai : 2 à 3 semaines pour un VMC, 1 à 2 semaines pour un CMC.

Points forts : tarifs compétitifs (proches de Sectigo), interface de gestion des certificats simple et intuitive, support technique accessible. SSL.com est une alternative viable pour les organisations qui cherchent un bon rapport qualité-prix sans passer par le réseau de revendeurs Sectigo.

Tableau comparatif des cinq CA

CAVMC ($/an)CMC ($/an)Délai VMCDélai CMCHébergement PEM
DigiCert~1499~10992-4 sem.1-3 sem.Non
Entrust~1499~10992-4 sem.1-3 sem.Non
Sectigo~749~6491-3 sem.1-2 sem.Non
GlobalSign~1299~9992-4 sem.1-3 sem.Non
SSL.com~999~7492-3 sem.1-2 sem.Non

Note importante : les prix indiqués sont approximatifs et varient selon le revendeur, le volume et les promotions en cours. Vérifiez toujours les tarifs actuels directement auprès de la CA ou de ses revendeurs autorisés. Les prix évoluent régulièrement, notamment pour les CMC dont le marché est encore en structuration.

Deux constats se dégagent de ce comparatif. D'abord, aucune CA ne propose l'hébergement du fichier PEM. Toutes vous livrent le certificat sous forme de fichier que vous devez héberger vous-même sur un serveur HTTPS accessible publiquement. C'est un point souvent découvert tardivement dans le processus. Ensuite, l'écart de prix entre la CA la moins chère (Sectigo, 749 $/an pour un VMC) et la plus chère (DigiCert/Entrust, 1499 $/an) atteint 100 %. Le certificat produit est techniquement identique (même format PEM, mêmes exigences de validation, même compatibilité avec les fournisseurs de messagerie), mais le niveau de service, l'accompagnement et la réputation de la CA justifient en partie cet écart.

Comparatif des prix et délais des cinq autorités de certification BIMI en 2026

Les prérequis avant d'acheter votre certificat

Vous avez choisi votre certificat et votre CA. Avant de passer commande, vérifiez que votre dossier ne sera pas rejeté. Quatre prérequis doivent être réunis, et les ignorer est la cause principale des retards. Chaque prérequis manquant ajoute entre une et six semaines au processus.

DMARC en enforcement

La spécification BIMI exige que le domaine émetteur publie un record DMARC avec une politique d'enforcement : p=quarantine ou p=reject. Un record DMARC avec p=none (mode observation) ne qualifie pas pour BIMI, quel que soit le fournisseur de messagerie. Gmail est particulièrement strict sur ce point et vérifie le record DMARC avant même de chercher le record BIMI.

Pour que DMARC fonctionne, SPF et DKIM doivent être correctement configurés en amont. DMARC "passe" si au moins un des deux protocoles (SPF ou DKIM) est authentifié et aligné avec le domaine du From:. En pratique, la signature DKIM est le mécanisme le plus fiable car elle résiste au transfert de messages (forwarding), contrairement à SPF.

Vérification rapide :

dig +short TXT _dmarc.captaindns.com

Résultat attendu :

"v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Points de contrôle :

  • p=quarantine ou p=reject (pas p=none)
  • pct=100 (ou absent, car la valeur par défaut est 100)
  • Au moins un tag rua= pour recevoir les rapports agrégés (recommandé mais pas obligatoire pour BIMI)

Si vous êtes encore en p=none, ne commandez pas votre certificat tout de suite. Migrez d'abord vers p=quarantine, surveillez les rapports DMARC pendant quelques semaines pour vérifier que vos flux légitimes ne sont pas impactés, puis passez à p=reject si possible. Ce processus peut prendre entre deux et huit semaines selon la complexité de votre infrastructure email.

Un logo SVG Tiny-PS conforme

Le logo soumis à la CA et publié dans le record BIMI doit respecter le profil SVG Tiny-PS (Tiny Portable/Secure). Ce profil restreint du format SVG a été imposé par le BIMI Group pour des raisons de sécurité : il interdit les éléments qui pourraient être exploités par un attaquant (scripts, images externes, animations).

Exigences techniques du format SVG Tiny-PS :

  • Attribut version="1.2" et baseProfile="tiny-ps" dans l'élément racine <svg>
  • ViewBox carrée (le logo doit être carré, par exemple viewBox="0 0 100 100")
  • Taille du fichier inférieure à 32 Ko
  • Aucun script JavaScript (<script>)
  • Aucun style CSS externe ou interne (<style>, style=)
  • Aucune image externe (<image> avec URL)
  • Aucune animation (<animate>, <animateTransform>)
  • Aucun lien hypertexte (<a>)
  • Élément <title> obligatoire (accessibilité)

La plupart des logos d'entreprise au format SVG standard ne respectent pas ces contraintes. Ils contiennent des styles CSS inline, des éléments <defs> avec des gradients complexes, ou des images embarquées en base64. Une conversion est presque toujours nécessaire.

Pour convertir votre logo au format SVG Tiny-PS, utilisez le convertisseur SVG BIMI de CaptainDNS. L'outil valide automatiquement la conformité et signale les éléments non autorisés.

Pour un guide détaillé sur la création et la conversion du logo, consultez le guide de création de logo BIMI.

Une marque déposée (VMC uniquement)

Pour un VMC, la CA vérifie que le logo soumis correspond à une marque déposée active auprès d'un office de propriété intellectuelle reconnu. Cette vérification est l'étape la plus longue et la plus contraignante du processus VMC.

Offices reconnus : les CA acceptent les marques enregistrées auprès des offices membres de l'OMPI (Organisation Mondiale de la Propriété Intellectuelle) et de certains offices nationaux. Les principaux : INPI (France), EUIPO (Union européenne), USPTO (États-Unis), UKIPO (Royaume-Uni), CIPO (Canada), IP Australia, DPMA (Allemagne), OEPM (Espagne), UIBM (Italie). Si votre marque est enregistrée dans un pays non couvert, vérifiez avec la CA avant de passer commande.

Type de marque : la marque doit être figurative (contenant un élément graphique). Les marques verbales (texte seul) ne suffisent pas. C'est un piège fréquent : une entreprise qui a déposé son nom de marque en texte mais pas son logo ne peut pas obtenir de VMC. Le logo soumis à la CA doit correspondre visuellement à la marque enregistrée. Des variations mineures (couleur, proportions) peuvent être acceptées, mais une divergence significative provoque un rejet.

État de la marque : la marque doit être active (pas expirée, pas en cours d'annulation ou de contestation). La CA vérifie l'état dans la base de données de l'office concerné. Si votre marque expire dans les prochains mois, renouvelez-la avant de commander le VMC.

Coût du dépôt de marque (si vous n'en avez pas) :

  • INPI (France) : environ 190 euros pour 10 ans, une classe. Renouvellement : environ 290 euros
  • EUIPO (Union européenne) : environ 850 euros pour 10 ans, une classe. Couverture des 27 pays de l'UE
  • USPTO (États-Unis) : environ 250-350 $ par classe

Délai de dépôt : entre 4 et 12 mois selon l'office et l'absence d'opposition. Si vous n'avez pas encore de marque déposée et que vous voulez un VMC, le dépôt de marque est le facteur limitant. Prévoyez au minimum 6 mois entre le dépôt et l'obtention du VMC.

Une preuve d'usage de 12 mois (CMC uniquement)

Pour un CMC, la CA ne vérifie pas de marque déposée. Elle vérifie que le logo a été utilisé publiquement par l'organisation depuis au moins 12 mois. La logique est simple : si un logo est associé à votre organisation de manière continue et documentable, il mérite d'être authentifié même sans dépôt de marque.

Preuves acceptées :

  • Captures d'écran de votre site web via web.archive.org montrant le logo il y a 12 mois et aujourd'hui
  • Factures, brochures, catalogues datés portant le logo
  • Publications sur les réseaux sociaux (LinkedIn, X/Twitter) avec horodatage
  • Documents marketing, communiqués de presse, captures email

Ce que la CA vérifie :

  • Le logo est actuellement affiché sur un site web que vous contrôlez
  • Le même logo (ou une variante très proche) était affiché sur ce même domaine au moins 12 mois plus tôt
  • Le logo est clairement associé à l'organisation demandeuse (pas un logo générique ou une image de banque d'images)

Avantage du CMC : le processus est plus souple et plus rapide que le VMC. Pas besoin de marque déposée, pas de vérification dans les bases de l'OMPI, pas de correspondance exacte avec un enregistrement officiel. Si votre logo est stable et utilisé publiquement depuis plus d'un an, le CMC est une option réaliste qui prend entre 1 et 4 semaines.

Limite : si votre organisation est récente (moins de 12 mois d'existence) ou si vous venez de changer de logo, vous ne pouvez pas obtenir de CMC immédiatement. Il faut attendre que le logo accumule 12 mois d'usage public documentable.

Le processus de validation étape par étape

Le processus de validation est le cœur du parcours d'obtention d'un certificat BIMI. C'est aussi l'étape où la majorité des retards se produisent, presque toujours à cause de documents incomplets ou d'un logo non conforme. Voici le déroulement détaillé pour les deux types de certificats.

Validation d'un VMC : les cinq étapes

Étape 1 : validation d'organisation (OV)

La CA vérifie l'existence juridique de votre organisation. Elle demande des documents officiels :

  • Pour une entreprise française : extrait Kbis de moins de 3 mois
  • Pour une entreprise américaine : articles of incorporation, certificate of good standing
  • Pour une entreprise européenne : extrait du registre commercial du pays concerné

La CA vérifie que l'organisation est active, que l'adresse correspond aux données publiques, et que le contact demandeur est autorisé à agir au nom de l'organisation. Cette étape peut nécessiter un appel téléphonique de vérification au numéro officiel de l'entreprise (vérifié dans un annuaire public).

Étape 2 : vérification de la marque déposée

La CA demande le numéro d'enregistrement de la marque et l'office de dépôt. Elle vérifie :

  • L'existence de la marque dans la base de données de l'office (INPI, EUIPO, USPTO, etc.)
  • Le statut actif de la marque (pas expirée, pas annulée)
  • La correspondance visuelle entre le logo soumis et la marque enregistrée
  • La propriété ou la licence d'usage (l'organisation demandeuse doit être le titulaire ou disposer d'une licence explicite)

C'est l'étape la plus longue du processus VMC. La vérification visuelle peut nécessiter des allers-retours si le logo soumis diffère de la marque enregistrée (couleurs différentes, version simplifiée, variante pour le digital). Préparez une version du logo aussi proche que possible de la marque enregistrée.

Étape 3 : vérification du domaine

La CA vérifie que vous contrôlez le domaine émetteur. Deux méthodes courantes :

  • DNS TXT : la CA vous fournit une valeur unique à publier comme record TXT sur votre domaine. Elle vérifie ensuite la présence de ce record
  • Email : la CA envoie un email à une adresse conventionnelle du domaine (admin@, postmaster@, webmaster@) avec un lien de confirmation

La méthode DNS TXT est la plus rapide et la plus fiable. Elle prend quelques minutes si vous avez accès à votre zone DNS.

Étape 4 : vérification du logo SVG

Vous soumettez le fichier SVG Tiny-PS à la CA. Elle vérifie la conformité technique (format, taille, absence d'éléments interdits) et la correspondance visuelle avec la marque déposée. Si le fichier n'est pas conforme, la CA le rejette avec un rapport d'erreurs.

Étape 5 : émission du certificat PEM

Une fois toutes les vérifications passées, la CA émet le certificat au format PEM. Le fichier contient le certificat de la marque, la chaîne intermédiaire et parfois le logo SVG encodé. Vous téléchargez ce fichier et devez l'héberger sur un serveur HTTPS accessible publiquement.

Validation d'un CMC : les cinq étapes

Étape 1 : validation d'organisation (OV)

Identique au VMC. Mêmes documents, même processus de vérification. Si vous avez déjà une validation d'organisation récente chez la même CA (par exemple pour un certificat TLS), cette étape peut être accélérée.

Étape 2 : vérification de l'usage du logo

Au lieu de vérifier une marque déposée, la CA vérifie l'usage public du logo depuis au moins 12 mois. Vous soumettez les preuves décrites dans la section précédente (captures web.archive.org, documents datés, publications). La CA vérifie l'authenticité et la cohérence de ces preuves.

Cette étape est généralement plus rapide que la vérification de marque du VMC, car elle ne dépend pas d'un office tiers. Mais elle nécessite une préparation rigoureuse : des preuves incomplètes ou ambiguës provoquent des allers-retours.

Étape 3 : vérification du domaine

Identique au VMC. DNS TXT ou email de confirmation.

Étape 4 : vérification du logo SVG

Identique au VMC. Le logo doit être au format SVG Tiny-PS et correspondre visuellement au logo dont l'usage est prouvé.

Étape 5 : émission du certificat PEM

Identique au VMC. Le certificat CMC est techniquement au même format que le VMC (fichier PEM contenant un certificat X.509). La seule différence est dans les métadonnées du certificat : le type (VMC vs CMC) et le niveau de vérification associé.

Les pièges qui retardent la validation

Les CA traitent des dizaines de dossiers BIMI par semaine. La grande majorité des retards sont causés par les mêmes erreurs récurrentes :

Logo SVG rejeté : c'est la cause de retard la plus fréquente. Le fichier SVG soumis contient des styles CSS, des scripts, des images externes ou n'a pas les bons attributs de version. Validez votre logo avant de le soumettre à la CA. Chaque aller-retour ajoute 3 à 5 jours ouvrés.

Marque déposée dans un office non reconnu : certains offices nationaux de petits pays ne sont pas dans la liste des offices reconnus par les CA. Vérifiez avec la CA avant de lancer le processus. Si votre marque n'est enregistrée que dans un office non reconnu, vous devrez soit la déposer dans un office accepté (EUIPO est le choix le plus large pour l'Europe), soit opter pour un CMC.

Marque verbale au lieu de figurative : une marque verbale (le nom de l'entreprise en texte, sans élément graphique) ne qualifie pas pour un VMC. Il faut une marque figurative (logo graphique). Si vous n'avez qu'une marque verbale, vous devez soit déposer une marque figurative (délai de plusieurs mois), soit opter pour un CMC.

Documents d'organisation périmés : un extrait Kbis de plus de 3 mois est généralement refusé. Un certificat de bonne existence expiré aussi. Commandez vos documents officiels juste avant de lancer la demande de certificat.

Domaine non vérifié : l'oubli du record DNS TXT de vérification de domaine est étonnamment fréquent. Certaines équipes lancent la demande de certificat sans avoir accès à la zone DNS, ce qui bloque le processus pendant des jours le temps de coordonner avec l'équipe infrastructure.

Contact non autorisé : la personne qui lance la demande doit être autorisée à agir au nom de l'organisation. Si la CA ne peut pas vérifier cette autorisation (le contact n'apparaît pas comme dirigeant dans les documents officiels), elle demandera une lettre d'autorisation signée par un dirigeant.

Les délais réels

Les délais annoncés par les CA sont des estimations optimistes. En pratique :

  • VMC avec tout préparé en amont : 2 à 3 semaines. C'est le cas idéal : documents d'organisation récents, marque déposée clairement identifiable, logo SVG conforme, accès DNS disponible
  • VMC avec des corrections à apporter : 4 à 6 semaines. Un aller-retour sur le logo SVG, un document à refaire, une marque à clarifier : chaque correction ajoute une semaine
  • CMC avec tout préparé : 1 à 2 semaines. Le processus est plus simple et plus rapide
  • CMC avec des corrections : 2 à 4 semaines

Astuce pour accélérer : préparez un "dossier de candidature" complet avant de passer commande. Rassemblez dans un même répertoire : le logo SVG Tiny-PS validé, les documents d'organisation à jour, le numéro de marque déposée (VMC) ou les preuves d'usage (CMC), et les accès DNS du domaine. Soumettez le tout en une seule fois. Les dossiers complets sont traités significativement plus vite que les dossiers partiels qui nécessitent des relances.

Schéma du processus de validation VMC et CMC : de la soumission à l'émission du certificat PEM

Héberger votre certificat PEM

Le certificat est émis. Mais le parcours n'est pas terminé : il faut encore l'héberger. Vous récupérez un fichier au format PEM (extension .pem) contenant le certificat X.509 encodé en base64, la chaîne intermédiaire et les métadonnées de la marque. Ce fichier doit être accessible publiquement via HTTPS, car son URL sera référencée dans votre enregistrement DNS BIMI via le tag a=.

Le point souvent découvert tardivement : aucune des cinq CA ne propose l'hébergement du fichier PEM. Elles émettent le certificat et vous le livrent. L'hébergement est votre responsabilité.

Trois options pour héberger le PEM

Option 1 : self-hosting (serveur web ou CDN)

Vous hébergez le fichier sur votre propre serveur (nginx, apache) ou via un CDN (S3 + CloudFront, Cloudflare R2). Les exigences sont strictes :

  • HTTPS obligatoire (TLS 1.2 minimum, certificat serveur valide)
  • Content-type : application/pkix-cert ou application/pem-certificate-chain
  • Réponse HTTP 200 directe (pas de redirections 301/302)
  • Haute disponibilité (le fichier doit être accessible 24/7 depuis n'importe où dans le monde)

Cette option convient aux équipes avec une infrastructure existante et une équipe ops en place. Le risque principal est l'oubli de renouvellement du certificat TLS du serveur d'hébergement (à ne pas confondre avec le certificat VMC/CMC lui-même).

Option 2 : hébergement par la CA

Certaines CA proposent une URL d'hébergement pour le fichier PEM, mais cette offre n'est pas systématique et les conditions varient. Vérifiez avec votre CA si cette option est disponible et si elle est incluse dans le prix du certificat ou facturée en supplément.

Option 3 : service dédié (CaptainDNS)

CaptainDNS héberge gratuitement les certificats VMC et CMC dans le cadre de son service d'hébergement BIMI. Le processus est simple :

  1. Créez un profil BIMI pour votre domaine dans le dashboard CaptainDNS
  2. Vérifiez la propriété du domaine (record TXT)
  3. Uploadez votre logo SVG (validé automatiquement au format Tiny-PS)
  4. Uploadez votre certificat PEM (VMC ou CMC)
  5. CaptainDNS extrait automatiquement les métadonnées du certificat (type VMC/CMC, émetteur, dates de validité, domaine couvert)
  6. Le certificat est servi depuis assets.captaindns.com avec le content-type correct et TLS automatique (Let's Encrypt)
  7. CaptainDNS génère l'enregistrement DNS BIMI complet avec les bonnes URL

Ce que CaptainDNS ajoute par rapport au self-hosting :

  • Extraction automatique des métadonnées du certificat (vous voyez immédiatement le type, l'émetteur, la date d'expiration)
  • Alerte 30 jours avant l'expiration du certificat (par email). Le renouvellement d'un VMC/CMC prend 1 à 4 semaines : cette alerte vous laisse le temps de relancer le processus sans interruption
  • Content-type correct garanti (pas de configuration serveur manuelle)
  • TLS automatique via Let's Encrypt (pas de certificat serveur à gérer)
  • Statistiques d'accès (nombre de requêtes, horodatage de la dernière requête)
  • Gratuit pour les 5 premiers domaines

URL d'hébergement typique : https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem

Pour le comparatif détaillé des cinq options d'hébergement (y compris le logo SVG), consultez le guide d'hébergement BIMI dans la section Guides connexes.

Déployer et tester votre certificat BIMI

Le certificat est obtenu et hébergé. Il reste deux étapes : publier l'enregistrement DNS BIMI et vérifier que tout fonctionne de bout en bout.

Publier l'enregistrement DNS BIMI

L'enregistrement BIMI est un record TXT publié sous le nom default._bimi. suivi de votre domaine. Il contient deux tags principaux :

  • l= : URL du logo SVG (ou vide si le logo est inclus dans le certificat PEM)
  • a= : URL du certificat PEM (VMC ou CMC)

Exemple complet avec logo et certificat hébergés sur CaptainDNS :

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg; a=https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem"

Variante sans certificat (mode auto-déclaré, accepté par Yahoo Mail mais pas par Gmail) :

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg; a=;"

Points de contrôle :

  • Le record est publié sur default._bimi.captaindns.com, pas sur _bimi.captaindns.com (erreur fréquente)
  • Les deux URL utilisent HTTPS (pas HTTP)
  • Le tag a= pointe vers le fichier PEM complet (avec la chaîne intermédiaire)
  • Le record ne contient pas de caractères parasites (guillemets mal fermés, espaces en trop)

Vérification DNS :

dig +short TXT default._bimi.captaindns.com

Vérifier le déploiement

Avant d'envoyer des emails de test, vérifiez chaque maillon de la chaîne :

1. Vérifier le record DNS BIMI

dig +short TXT default._bimi.captaindns.com

Le résultat doit contenir v=BIMI1 avec les tags l= et a= correctement renseignés.

2. Vérifier l'accessibilité du logo SVG

curl -I https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg

Attendu : HTTP 200, Content-Type: image/svg+xml, pas de redirection.

3. Vérifier l'accessibilité du certificat PEM

curl -I https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem

Attendu : HTTP 200, content-type adapté, pas de redirection.

4. Vérifier le record DMARC

dig +short TXT _dmarc.captaindns.com

Attendu : p=quarantine ou p=reject, pct=100.

5. Utiliser l'outil de vérification BIMI de CaptainDNS

L'outil BIMI Record Check de CaptainDNS vérifie automatiquement l'ensemble de la chaîne : résolution DNS du record BIMI, accessibilité HTTPS du logo et du certificat, validité du certificat (dates, émetteur, type), conformité du logo SVG Tiny-PS. Il signale les erreurs avec des messages explicites et des suggestions de correction.

Tester l'affichage dans les boîtes de réception

Une fois les vérifications techniques passées, envoyez des emails de test vers les principaux fournisseurs :

Gmail : envoyez un email depuis votre domaine vers un compte Gmail. Le logo doit apparaître à côté du nom de l'expéditeur. Si vous avez un VMC, le checkmark bleu (coche de vérification) doit être visible. L'affichage peut prendre quelques heures après la publication du record BIMI (Gmail met en cache les résultats BIMI).

Apple Mail : vérifiez sur iOS et macOS. Apple Mail affiche le logo uniquement si le serveur de messagerie (iCloud, dans le cas d'un compte Apple) a vérifié le certificat VMC. Le CMC n'est pas supporté par Apple Mail.

Yahoo Mail : Yahoo Mail est le fournisseur le plus permissif. Il affiche le logo BIMI même sans certificat (mode auto-déclaré). Si votre logo apparaît sur Yahoo Mail mais pas sur Gmail, le problème est probablement lié au certificat, pas au record DNS ou au logo.

Délai d'affichage : comptez quelques heures à quelques jours. Les fournisseurs de messagerie mettent en cache les records BIMI et les logos. Un changement de certificat ou de logo peut prendre jusqu'à 72 heures pour se propager complètement. Ne paniquez pas si le logo n'apparaît pas immédiatement après la publication du record DNS.

Matrice de compatibilité BIMI : Gmail, Apple Mail, Yahoo Mail avec VMC, CMC et auto-déclaré

Budget total réel : VMC vs CMC

Les prix des certificats ne représentent qu'une partie du budget. Pour prendre une décision éclairée, il faut considérer l'ensemble des postes de dépense sur la première année et les années suivantes.

Poste de dépenseVMCCMC
Certificat BIMI (annuel)749-1688 $650-1100 $
Marque déposée INPI (10 ans, 1 classe)~190 eurosNon requis
Marque déposée EUIPO (10 ans, 1 classe)~850 eurosNon requis
Logo SVG Tiny-PS (conversion par un designer)200-500 euros200-500 euros
Hébergement logo + certificat (CaptainDNS)GratuitGratuit
Configuration DMARC (inclus dans DNS existant)0 euros0 euros
Total estimé année 1 (avec INPI)~1200-2500 euros~800-1500 euros
Total estimé année 1 (avec EUIPO)~1900-3200 euros~800-1500 euros
Total estimé années suivantes~700-1600 euros/an~600-1000 euros/an

Notes sur le budget :

Le coût de la marque déposée est un investissement ponctuel amorti sur 10 ans. Rapporté au coût annuel, il ajoute environ 19 euros par an (INPI) ou 85 euros par an (EUIPO). Mais l'investissement initial peut peser dans la décision.

Le poste "Logo SVG Tiny-PS" correspond à la conversion d'un logo existant au format Tiny-PS par un designer graphique. Si votre logo est simple (formes géométriques, couleurs unies), la conversion peut être faite en interne gratuitement. Si votre logo est complexe (dégradés, effets, typographie élaborée), un designer spécialisé peut facturer entre 200 et 500 euros pour une conversion propre.

L'hébergement du logo et du certificat est gratuit avec CaptainDNS (jusqu'à 5 domaines). En self-hosting, le coût est quasi nul si vous disposez déjà d'une infrastructure (quelques centimes par mois en stockage cloud). En utilisant une plateforme DMARC intégrée, l'hébergement est inclus dans l'abonnement (50-500 $/mois).

Le coût réel le plus sous-estimé n'est pas financier : c'est le temps. Le temps de préparation des documents, de validation avec la CA, de configuration DNS, de tests. Pour un VMC, comptez entre 20 et 40 heures de travail technique et administratif réparties sur 2 à 6 semaines. Pour un CMC, entre 10 et 20 heures sur 1 à 4 semaines.

Plan d'action pour déployer BIMI avec certificat

Voici le parcours optimal pour obtenir et déployer votre certificat BIMI, de la préparation à l'affichage du logo en boîte de réception.

1. Vérifier vos prérequis

Avant toute action, validez les quatre prérequis : DMARC en enforcement (p=quarantine ou p=reject), logo au format SVG Tiny-PS (ou convertible), marque déposée active si vous visez un VMC (ou preuves d'usage si vous visez un CMC), et accès à la zone DNS du domaine émetteur. Si un prérequis manque, traitez-le en priorité. Un prérequis manquant au moment de la commande du certificat peut retarder l'ensemble du processus de plusieurs semaines.

2. Choisir VMC ou CMC

Utilisez l'arbre de décision décrit dans la première section de cet article. Si vous avez une marque déposée figurative et que le checkmark Gmail est important pour votre stratégie, choisissez le VMC. Dans tous les autres cas, le CMC est le choix pragmatique : moins cher, plus rapide, suffisant pour afficher le logo dans Gmail.

3. Comparer les CA et passer commande

Consultez le tableau comparatif des cinq CA. Pour le meilleur rapport qualité-prix, Sectigo est le choix le plus compétitif. Pour la fiabilité du processus et l'accompagnement, DigiCert ou Entrust sont les références. Rassemblez votre "dossier de candidature" complet avant de passer commande pour minimiser les allers-retours.

4. Héberger logo et certificat sur CaptainDNS

Pendant que la CA traite votre dossier, configurez l'hébergement. Créez un profil BIMI sur CaptainDNS, vérifiez votre domaine, uploadez votre logo SVG. Quand le certificat PEM sera émis, il ne restera qu'à l'uploader pour compléter la configuration.

5. Publier le record DNS et tester

Copiez l'enregistrement DNS BIMI généré par CaptainDNS dans votre zone DNS. Vérifiez la chaîne complète (DNS, HTTPS, certificat, DMARC). Envoyez des emails de test vers Gmail, Apple Mail et Yahoo Mail. Surveillez les rapports DMARC pendant les premiers jours pour détecter d'éventuels problèmes d'alignement.

FAQ

Faut-il un certificat VMC pour afficher un logo BIMI ?

Non. Yahoo Mail affiche le logo BIMI sans aucun certificat (auto-déclaré). Gmail affiche le logo avec un VMC ou un CMC, mais seul le VMC active le checkmark bleu. Apple Mail exige un VMC. Le certificat n'est donc pas obligatoire pour tous les fournisseurs, mais il est recommandé pour Gmail.

Quelle est la différence entre VMC et CMC ?

Le VMC (Verified Mark Certificate) exige une marque déposée et active le checkmark bleu dans Gmail. Le CMC (Common Mark Certificate) n'exige pas de marque déposée : il suffit de prouver l'usage du logo depuis 12 mois. Le CMC affiche le logo dans Gmail sans le checkmark bleu. Les deux sont des certificats X.509 au format PEM.

Combien coûte un certificat VMC ?

Entre 749 et 1688 $ par an selon l'autorité de certification. Sectigo propose les prix les plus bas (~749 $/an via revendeurs), tandis que DigiCert et Entrust se situent autour de 1499 $/an. À ce coût s'ajoute celui de la marque déposée si vous n'en avez pas (190 euros à l'INPI, 850 euros à l'EUIPO).

Peut-on obtenir un certificat BIMI gratuitement ?

Non. Les certificats VMC et CMC sont payants (650 $ minimum par an). En revanche, l'hébergement du certificat peut être gratuit : CaptainDNS héberge votre fichier PEM sans frais pour 5 domaines. Et Yahoo Mail affiche le logo BIMI sans aucun certificat.

Quels sont les prérequis pour acheter un VMC ?

Quatre prérequis : un record DMARC en enforcement (p=quarantine ou p=reject), un logo au format SVG Tiny-PS, une marque déposée active couvrant le logo, et le contrôle du domaine émetteur. Sans marque déposée, optez pour un CMC.

Combien de temps faut-il pour obtenir un certificat VMC ?

Comptez 2 à 6 semaines. La validation de la marque déposée est l'étape la plus longue. Pour un CMC, le délai est de 1 à 4 semaines. Préparer tous les documents en amont (Kbis, numéro de marque, logo SVG) accélère significativement le processus.

Le certificat VMC garantit-il l'affichage du logo dans toutes les boîtes mail ?

Non. Le VMC garantit l'affichage dans Gmail (avec checkmark bleu) et Apple Mail. Yahoo Mail affiche le logo sans certificat. Microsoft Outlook ne supporte pas encore BIMI. La compatibilité dépend de chaque fournisseur de messagerie.

Que se passe-t-il quand un certificat VMC ou CMC expire ?

Gmail et Apple Mail cessent d'afficher votre logo. Le record BIMI DNS reste valide, mais le certificat n'est plus vérifié. Le renouvellement prend le même délai que l'obtention initiale. CaptainDNS envoie une alerte 30 jours avant l'expiration pour anticiper.

Télécharger les tableaux comparatifs

Les assistants peuvent exploiter les exports JSON ou CSV ci-dessous pour réutiliser les chiffres.

Glossaire

  • VMC (Verified Mark Certificate) : certificat X.509 émis par une CA accréditée, lié à une marque déposée, qui authentifie le logo BIMI et active le checkmark bleu dans Gmail.
  • CMC (Common Mark Certificate) : certificat X.509 similaire au VMC mais sans exigence de marque déposée. Basé sur une preuve d'usage du logo depuis 12 mois.
  • BIMI (Brand Indicators for Message Identification) : standard email (RFC 9495) permettant aux expéditeurs d'afficher leur logo dans les boîtes de réception des destinataires.
  • PEM (Privacy Enhanced Mail) : format de fichier texte encodé en base64 utilisé pour stocker les certificats numériques.
  • SVG Tiny-PS (Tiny Portable/Secure) : profil restreint du format SVG, imposé par BIMI pour des raisons de sécurité.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) : protocole d'authentification email qui coordonne SPF et DKIM.

Hébergez votre certificat VMC ou CMC gratuitement : CaptainDNS héberge votre fichier PEM avec extraction automatique des métadonnées, alertes d'expiration et statistiques d'accès. Créez votre profil BIMI depuis l'outil d'hébergement accessible via le bouton en haut de cet article.

Sources

Guides BIMI connexes

Articles similaires