Vai al contenuto principale
CaptainDNS

Propagazione e diagnostica

Confronta i resolver in tutto il mondo e ispeziona le risposte restituite.

Diagnostica email

Strumenti per verificare e convalidare la configurazione di autenticazione e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Recapitabilità

Audit deliverabilityAnalizzatore intestazioniTester emailVerifica blacklist IPVerifica blacklist dominioAppiattitore SPFRicerca selettori DKIMVerificatore SMTP/MX

Proteggere e Monitorare

Generatori di record, hosting di policy e monitoraggio continuo.

Rete e Web

Strumenti di rete, analisi di pagine web e certificati.

Strumenti IP

Il mio indirizzo IP

Rileva i tuoi indirizzi IPv4/IPv6 e la loro geolocalizzazione.

Ricerca inversa

Risolve un record PTR e verifica la coerenza DNS.

WhoIs IP

Identifica il proprietario di un intervallo IP e i suoi contatti.

Maschera IPv4

Calcola la rete, il broadcast e gli host utilizzabili di qualsiasi blocco IPv4.

Calcolatore di sottoreti IPv6

Calcola sottoreti IPv6, intervalli di indirizzi e voci DNS inverso.

Certificati e BIMI

Analizzatore logo BIMI

Analizza l'URL di un logo BIMI, il formato, i metadati e il rendering.

BIMI SVG Converter

Converti qualsiasi SVG nel formato Tiny-PS compatibile BIMI in pochi secondi.

Analizzatore CSR

Ispeziona un CSR, estrai dettagli del soggetto, impronte digitali e SAN richiesti.

Ispettore VMC

Analizza un Verified Mark Certificate: autorità emittente, validità e SAN prima di pubblicare il BIMI.

Web

Verificatore peso pagina

Verifica se la tua pagina supera il limite di 2 MB di Googlebot.

Verificatore URL di phishing

Verifica se un URL è segnalato come phishing o malware da 4 fonti.

Redirect Checker

Analizza le catene di reindirizzamenti HTTP

Reindirizzamento dominio

Reindirizza i tuoi domini con HTTPS automatico e redirect 301/302.

Strumenti sviluppatore

Utilità di testo e strumenti per lo sviluppo quotidiano.

Testo

Trasforma e misura i tuoi contenuti in pochi secondi.

Convertitore maiuscole/minuscole

Converti istantaneamente qualsiasi testo in maiuscolo o minuscolo.

Generatore di slug

Trasforma qualsiasi titolo in uno slug ottimizzato SEO in pochi secondi.

Conteggio parole e caratteri

Misura la lunghezza di qualsiasi testo con conteggi immediati di parole e caratteri.

Generatore di password

Genera password casuali sicure e frasi di accesso facili da ricordare.

Sviluppatore

Codifica, hashing, regex e formattazione per il lavoro quotidiano.

Codificatore / decodificatore Base64

Codifica o decodifica contenuti Base64 direttamente dal browser.

Generatore di hash

Calcola gli hash MD5, SHA-1, SHA-256 e SHA-512 di qualsiasi testo.

Codificatore / decodificatore URL

Codifica o decodifica il testo con percent-encoding (RFC 3986) direttamente nel browser.

Tester regex

Testa un'espressione regolare contro un testo e visualizza le corrispondenze.

Formattatore JSON / YAML

Formatta, valida e converti JSON e YAML in un clic.

CaptainDNS ospita la Sua politica MTA-STS e il Suo logo BIMI, e monitora i Suoi report DMARC e TLS-RPT automaticamente. Tutto gratis, senza server da gestire.

Google, Yahoo e Microsoft richiedono ora un'autenticazione e-mail più forte. Protegga la Sua deliverability in pochi clic.

MTA-STSBIMITLS-RPTDMARC Monitoring

Certificato VMC e CMC per BIMI: scegliere, acquistare e distribuire

Di CaptainDNS
Pubblicato il 1 aprile 2026

Schema del percorso per ottenere un certificato VMC o CMC per BIMI
TL;DR
  • VMC per i marchi registrati (checkmark blu Gmail, logo Apple Mail), CMC per le aziende senza marchio registrato (logo Gmail senza checkmark)
  • Prezzi annuali: VMC da 749 a 1688 $, CMC da 650 a 1100 $, a cui si aggiunge il costo del marchio registrato per un VMC
  • Cinque autorità di certificazione offrono certificati BIMI: DigiCert, Entrust, Sectigo, GlobalSign e SSL.com
  • CaptainDNS ospita gratuitamente il certificato VMC o CMC con estrazione automatica dei metadati e avvisi di scadenza

Secondo un'analisi URIports del 2025, il 53,6% dei record BIMI contiene almeno un errore. Oltre la metà dei domini che tentano di mostrare il proprio logo nella casella di posta fallisce. E nella maggior parte dei casi non è il DNS a bloccare, né il formato del logo: è il certificato. Il tipo di certificato sbagliato, un processo di validazione mal preparato, un file PEM mal ospitato, un marchio registrato inadatto. Il certificato è il principale punto critico del deployment BIMI.

L'ecosistema si è però evoluto. Da settembre 2024, Gmail accetta i CMC (Common Mark Certificates) oltre ai VMC (Verified Mark Certificates). Apple Mail continua a richiedere un VMC. Yahoo Mail mostra il logo senza alcun certificato. Tre provider principali, tre livelli di requisiti diversi. Per i team tecnici che vogliono distribuire BIMI, la prima domanda non è più "serve un certificato?" ma "quale, da chi, a che prezzo e come distribuirlo correttamente?".

Questa guida risponde a queste domande. Copre il percorso completo, dalla scelta tra VMC e CMC fino al checkmark visibile in Gmail: confronto oggettivo delle cinque autorità di certificazione con i prezzi reali, prerequisiti tecnici dettagliati, processo di validazione passo dopo passo, hosting del certificato PEM e deployment DNS. Ogni sezione è pensata per farvi risparmiare tempo ed evitare gli errori che ritardano la messa in produzione di diverse settimane.

Ospita il tuo certificato BIMI gratuitamente

Ospita con CaptainDNSVerifica il tuo record BIMI

VMC o CMC: quale certificato BIMI scegliere?

La scelta tra VMC e CMC condiziona tutto il resto: il budget, i documenti da preparare, i tempi di ottenimento e le funzionalità disponibili presso ogni provider di posta. Prima di contattare un'autorità di certificazione, bisogna rispondere a tre domande.

Tre domande per decidere

1. Il vostro logo è legato a un marchio registrato?

Se il vostro logo è registrato come marchio figurativo presso un ufficio riconosciuto (UIBM, USPTO, EUIPO, WIPO, ecc.), potete aspirare a un VMC. Se non avete un marchio registrato, o se il vostro marchio è esclusivamente verbale (testo senza elemento grafico), il CMC è la vostra unica opzione. Non esistono scorciatoie: senza marchio figurativo registrato, nessuna autorità di certificazione emetterà un VMC.

2. Avete bisogno del checkmark blu in Gmail?

Il checkmark blu (il segno di spunta blu visualizzato accanto al nome del mittente in Gmail) è riservato al VMC. Un CMC mostra il logo in Gmail, ma senza questo indicatore visivo. Se il checkmark è un obiettivo strategico per il vostro brand (fiducia dei destinatari, differenziazione rispetto al phishing), il VMC è indispensabile. Se la visualizzazione del logo è sufficiente, il CMC assolve al compito.

3. Quale budget potete dedicare?

Il VMC costa tra 749 e 1688 $ l'anno secondo l'autorità di certificazione. Il CMC costa tra 650 e 1100 $ l'anno. Ma il VMC comporta un costo aggiuntivo spesso sottovalutato: il marchio registrato stesso. Un deposito all'UIBM costa circa 101 euro per 10 anni (una classe), un deposito all'EUIPO circa 850 euro. Se non avete ancora un marchio registrato, aggiungete questo importo al budget VMC, insieme al ritardo di diversi mesi necessario per la registrazione.

Confronto rapido VMC vs CMC

CriterioVMCCMC
Marchio registrato richiestoSì (figurativo, attivo)No
Gmail: visualizzazione del logo
Gmail: checkmark bluNo
Apple Mail: visualizzazione del logoNo
Yahoo Mail: visualizzazione del logoNon richiesto (auto-dichiarato sufficiente)Non richiesto
Prezzo annuale del certificato749-1688 $650-1100 $
Tempi di ottenimento tipici2-6 settimane1-4 settimane
Prova richiestaMarchio registrato + documenti dell'organizzazioneUso del logo da 12 mesi + documenti dell'organizzazione

La scelta si riduce a una decisione strategica. Il VMC offre il livello di fiducia massimo (checkmark Gmail, compatibilità Apple Mail) al prezzo di un marchio registrato e di un budget più elevato. Il CMC democratizza l'accesso a BIMI per le organizzazioni senza marchio registrato, con un deployment più rapido e meno costoso.

Per un confronto dettagliato delle differenze tecniche e della compatibilità per provider di posta, consultate la guida VMC, CMC e compatibilità DNS nella sezione Guide correlate in fondo all'articolo.

Le cinque autorità di certificazione BIMI a confronto

Cinque autorità di certificazione (CA) emettono certificati BIMI. I loro processi di validazione sono simili (tutti seguono i requisiti del BIMI Group), ma i prezzi, i tempi e i servizi accessori variano in modo significativo. Ad oggi non esiste un confronto oggettivo di queste cinque CA. Ecco i dati consolidati.

DigiCert

DigiCert è il leader storico del mercato dei certificati BIMI. È la prima CA ad aver proposto VMC al lancio di BIMI e dispone della base installata più ampia.

VMC: circa 1499 $ l'anno a tariffa diretta. Alcuni rivenditori autorizzati propongono prezzi leggermente inferiori. DigiCert fattura il certificato per dominio: un certificato per dominio mittente.

CMC: circa 1099 $ l'anno. Il CMC è disponibile da fine 2024 presso DigiCert, sulla scia dell'annuncio Gmail.

Processo di validazione: validazione dell'organizzazione (OV) completa, verifica del marchio registrato (VMC) o della prova d'uso (CMC), verifica del controllo del dominio (DNS TXT o email), invio e validazione del logo SVG Tiny-PS. DigiCert dispone di un team di validazione dedicato per i dossier BIMI.

Hosting del PEM incluso: no. Il cliente deve ospitare il file PEM sul proprio server o tramite un servizio di terze parti.

Tempi: da 2 a 4 settimane per un VMC (la verifica del marchio registrato è la fase più lunga), da 1 a 3 settimane per un CMC.

Punti di forza: esperienza consolidata (primo emittente VMC), documentazione abbondante, supporto tecnico reattivo, ampia rete di rivenditori. DigiCert è la scelta predefinita per le grandi aziende e le organizzazioni che privilegiano l'affidabilità del processo.

Entrust

Entrust è un attore di rilievo nei certificati digitali, con una forte presenza nei settori bancario, governativo e aziendale. La sua soluzione BIMI si integra naturalmente nel suo portafoglio di certificati TLS e di firma del codice.

VMC: circa 1499 $ l'anno. Il posizionamento tariffario è allineato con DigiCert.

CMC: circa 1099 $ l'anno.

Processo di validazione: simile a DigiCert. Validazione dell'organizzazione, verifica del marchio (VMC) o dell'uso (CMC), verifica del dominio, validazione del logo SVG. Entrust si appoggia ai propri team di validazione esistenti, il che può accelerare il processo per i clienti che hanno già certificati Entrust (la validazione dell'organizzazione è talvolta riutilizzabile).

Hosting del PEM incluso: no.

Tempi: da 2 a 4 settimane per un VMC, da 1 a 3 settimane per un CMC. I clienti esistenti con una validazione dell'organizzazione recente possono beneficiare di tempi ridotti.

Punti di forza: forte presenza enterprise, integrazione con le soluzioni Entrust esistenti (PKI gestita, certificati TLS), processo di validazione rodato per le grandi organizzazioni. Se la vostra azienda utilizza già Entrust per i certificati TLS o la PKI, il VMC/CMC si integra nello stesso flusso di approvvigionamento.

Sectigo

Sectigo (ex Comodo CA) si posiziona nel segmento prezzo con i certificati BIMI più accessibili del mercato. Sectigo vende principalmente tramite un'ampia rete di rivenditori (SSL Store, GoGetSSL, SSLs.com, tra gli altri), creando una forte competizione sui prezzi.

VMC: circa 749 $ l'anno tramite i rivenditori più economici. Il prezzo può variare tra 749 e 999 $ secondo il rivenditore e le promozioni in corso. La tariffa diretta Sectigo è leggermente più alta.

CMC: circa 649 $ l'anno tramite rivenditori. È il prezzo d'ingresso più basso del mercato per un certificato BIMI.

Processo di validazione: validazione OV standard, verifica del marchio registrato (VMC) o della prova d'uso (CMC), verifica del dominio, validazione SVG. Il processo è sostanzialmente lo stesso di DigiCert ed Entrust, con requisiti documentali identici (le CA seguono tutte gli stessi Mark Certificate Requirements del BIMI Group).

Hosting del PEM incluso: no.

Tempi: da 1 a 3 settimane per un VMC, da 1 a 2 settimane per un CMC. Sectigo è generalmente più rapido di DigiCert ed Entrust sui tempi di validazione, in parte perché i dossier sono gestiti da team dedicati ai certificati di marchio.

Punti di forza: prezzi più bassi del mercato, ampia rete di rivenditori (facilità d'acquisto), tempi di validazione competitivi. Sectigo è la scelta naturale per le organizzazioni attente al budget che vogliono un VMC o CMC senza pagare il premium DigiCert/Entrust.

Punto di attenzione: il supporto tecnico varia molto secondo il rivenditore. Alcuni rivenditori offrono un accompagnamento minimo, il che può complicare il processo per i team che scoprono BIMI. Privilegiate un rivenditore con supporto dedicato se è il vostro primo certificato BIMI.

GlobalSign

GlobalSign è una CA internazionale con forte presenza in Europa e Asia. La sua offerta BIMI è più recente rispetto a DigiCert o Entrust, ma copre entrambi i tipi di certificato.

VMC: circa 1299 $ l'anno. Il posizionamento tariffario si colloca tra Sectigo e il duo DigiCert/Entrust.

CMC: circa 999 $ l'anno.

Processo di validazione: standard BIMI Group. Validazione dell'organizzazione, verifica del marchio o dell'uso, verifica del dominio, validazione SVG. GlobalSign dispone di un'infrastruttura di validazione internazionale, il che può essere un vantaggio per le organizzazioni multinazionali.

Hosting del PEM incluso: no.

Tempi: da 2 a 4 settimane per un VMC, da 1 a 3 settimane per un CMC.

Punti di forza: presenza internazionale (uffici in Europa, Asia, America), supporto multilingue, esperienza nella validazione dell'organizzazione per le aziende non americane. Se la vostra organizzazione ha sede fuori dagli Stati Uniti e incontrate difficoltà con la validazione presso le CA americane, GlobalSign può offrire un processo più fluido.

SSL.com

SSL.com è un attore più piccolo che ha esteso la propria offerta ai certificati BIMI. La CA propone VMC e CMC, principalmente tramite i propri canali diretti e alcuni rivenditori partner.

VMC: circa 999 $ l'anno a tariffa diretta, con prezzi che possono scendere a 749 $ tramite alcuni rivenditori.

CMC: circa 749 $ l'anno.

Processo di validazione: standard BIMI Group, simile alle altre CA.

Hosting del PEM incluso: no.

Tempi: da 2 a 3 settimane per un VMC, da 1 a 2 settimane per un CMC.

Punti di forza: tariffe competitive (vicine a Sectigo), interfaccia di gestione dei certificati semplice e intuitiva, supporto tecnico accessibile. SSL.com è un'alternativa valida per le organizzazioni che cercano un buon rapporto qualità-prezzo senza passare dalla rete di rivenditori Sectigo.

Tabella comparativa delle cinque CA

CAVMC ($/anno)CMC ($/anno)Tempi VMCTempi CMCHosting PEM
DigiCert~1499~10992-4 sett.1-3 sett.No
Entrust~1499~10992-4 sett.1-3 sett.No
Sectigo~749~6491-3 sett.1-2 sett.No
GlobalSign~1299~9992-4 sett.1-3 sett.No
SSL.com~999~7492-3 sett.1-2 sett.No

Nota importante: i prezzi indicati sono approssimativi e variano secondo il rivenditore, il volume e le promozioni in corso. Verificate sempre le tariffe attuali direttamente presso la CA o i suoi rivenditori autorizzati. I prezzi si evolvono regolarmente, soprattutto per i CMC il cui mercato è ancora in fase di strutturazione.

Due constatazioni emergono da questo confronto. Innanzitutto, nessuna CA propone l'hosting del file PEM. Tutte vi consegnano il certificato sotto forma di file che dovete ospitare voi stessi su un server HTTPS accessibile pubblicamente. È un punto spesso scoperto tardivamente nel processo. In secondo luogo, il divario di prezzo tra la CA più economica (Sectigo, 749 $/anno per un VMC) e la più costosa (DigiCert/Entrust, 1499 $/anno) raggiunge il 100%. Il certificato prodotto è tecnicamente identico (stesso formato PEM, stessi requisiti di validazione, stessa compatibilità con i provider di posta), ma il livello di servizio, l'accompagnamento e la reputazione della CA giustificano in parte questo divario.

Confronto dei prezzi e dei tempi delle cinque autorità di certificazione BIMI nel 2026

I prerequisiti prima di acquistare il certificato

Prima di ordinare presso un'autorità di certificazione, quattro prerequisiti devono essere soddisfatti. Ignorarli è la causa principale dei ritardi e dei rigetti. Ogni prerequisito mancante aggiunge da una a sei settimane al processo.

DMARC in enforcement

La specifica BIMI richiede che il dominio mittente pubblichi un record DMARC con una policy di enforcement: p=quarantine o p=reject. Un record DMARC con p=none (modalità osservazione) non qualifica per BIMI, qualunque sia il provider di posta. Gmail è particolarmente rigoroso su questo punto e verifica il record DMARC prima ancora di cercare il record BIMI.

Perché DMARC funzioni, SPF e DKIM devono essere configurati correttamente a monte. DMARC "passa" se almeno uno dei due protocolli (SPF o DKIM) è autenticato e allineato con il dominio del From:. In pratica, la firma DKIM è il meccanismo più affidabile perché resiste all'inoltro dei messaggi (forwarding), a differenza di SPF.

Verifica rapida:

dig +short TXT _dmarc.captaindns.com

Risultato atteso:

"v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Punti di controllo:

  • p=quarantine o p=reject (non p=none)
  • pct=100 (o assente, poiché il valore predefinito è 100)
  • Almeno un tag rua= per ricevere i report aggregati (raccomandato ma non obbligatorio per BIMI)

Se siete ancora in p=none, non ordinate il certificato subito. Migrate prima a p=quarantine, monitorate i report DMARC per alcune settimane per verificare che i vostri flussi legittimi non siano impattati, poi passate a p=reject se possibile. Questo processo può richiedere tra due e otto settimane secondo la complessità della vostra infrastruttura email.

Un logo SVG Tiny-PS conforme

Il logo sottoposto alla CA e pubblicato nel record BIMI deve rispettare il profilo SVG Tiny-PS (Tiny Portable/Secure). Questo profilo ristretto del formato SVG è stato imposto dal BIMI Group per ragioni di sicurezza: proibisce gli elementi che potrebbero essere sfruttati da un attaccante (script, immagini esterne, animazioni).

Requisiti tecnici del formato SVG Tiny-PS:

  • Attributo version="1.2" e baseProfile="tiny-ps" nell'elemento radice <svg>
  • ViewBox quadrata (il logo deve essere quadrato, ad esempio viewBox="0 0 100 100")
  • Dimensione del file inferiore a 32 KB
  • Nessun script JavaScript (<script>)
  • Nessuno stile CSS esterno o interno (<style>, style=)
  • Nessuna immagine esterna (<image> con URL)
  • Nessuna animazione (<animate>, <animateTransform>)
  • Nessun collegamento ipertestuale (<a>)
  • Elemento <title> obbligatorio (accessibilità)

La maggior parte dei loghi aziendali in formato SVG standard non rispetta questi vincoli. Contengono stili CSS inline, elementi <defs> con gradienti complessi o immagini embed in base64. Una conversione è quasi sempre necessaria.

Per convertire il vostro logo al formato SVG Tiny-PS, utilizzate il convertitore SVG BIMI di CaptainDNS. Lo strumento valida automaticamente la conformità e segnala gli elementi non autorizzati.

Per una guida dettagliata sulla creazione e conversione del logo, consultate la guida alla creazione del logo BIMI.

Un marchio registrato (solo VMC)

Per un VMC, la CA verifica che il logo presentato corrisponda a un marchio registrato attivo presso un ufficio di proprietà intellettuale riconosciuto. Questa verifica è la fase più lunga e vincolante del processo VMC.

Uffici riconosciuti: le CA accettano i marchi registrati presso gli uffici membri dell'OMPI (Organizzazione Mondiale della Proprietà Intellettuale) e di alcuni uffici nazionali. I principali: UIBM (Italia), EUIPO (Unione Europea), USPTO (Stati Uniti), UKIPO (Regno Unito), CIPO (Canada), IP Australia, DPMA (Germania), OEPM (Spagna), INPI (Francia). Se il vostro marchio è registrato in un paese non coperto, verificate con la CA prima di ordinare.

Tipo di marchio: il marchio deve essere figurativo (contenente un elemento grafico). I marchi verbali (solo testo) non bastano. È una trappola frequente: un'azienda che ha depositato il nome del marchio in testo ma non il logo non può ottenere un VMC. Il logo sottoposto alla CA deve corrispondere visivamente al marchio registrato. Variazioni minori (colore, proporzioni) possono essere accettate, ma una divergenza significativa provoca un rigetto.

Stato del marchio: il marchio deve essere attivo (non scaduto, non in corso di annullamento o contestazione). La CA verifica lo stato nella banca dati dell'ufficio interessato. Se il vostro marchio scade nei prossimi mesi, rinnovatelo prima di ordinare il VMC.

Costo del deposito del marchio (se non ne avete uno):

  • UIBM (Italia): circa 101 euro per 10 anni, una classe. Rinnovo: circa 67 euro
  • EUIPO (Unione Europea): circa 850 euro per 10 anni, una classe. Copertura dei 27 paesi dell'UE
  • USPTO (Stati Uniti): circa 250-350 $ per classe

Tempi di deposito: tra 4 e 12 mesi secondo l'ufficio e l'assenza di opposizione. Se non avete ancora un marchio registrato e volete un VMC, il deposito del marchio è il fattore limitante. Prevedete almeno 6 mesi tra il deposito e l'ottenimento del VMC.

Una prova d'uso di 12 mesi (solo CMC)

Per un CMC, la CA non verifica un marchio registrato. Verifica che il logo sia stato utilizzato pubblicamente dall'organizzazione da almeno 12 mesi. La logica è semplice: se un logo è associato alla vostra organizzazione in modo continuo e documentabile, merita di essere autenticato anche senza deposito di marchio.

Prove accettate:

  • Screenshot del vostro sito web tramite web.archive.org che mostrano il logo 12 mesi fa e oggi
  • Fatture, brochure, cataloghi datati recanti il logo
  • Pubblicazioni sui social network (LinkedIn, X/Twitter) con data e ora
  • Documenti di marketing, comunicati stampa, screenshot email

Cosa verifica la CA:

  • Il logo è attualmente visibile su un sito web che controllate
  • Lo stesso logo (o una variante molto simile) era visibile sullo stesso dominio almeno 12 mesi prima
  • Il logo è chiaramente associato all'organizzazione richiedente (non un logo generico o un'immagine stock)

Vantaggio del CMC: il processo è più flessibile e rapido rispetto al VMC. Non serve un marchio registrato, nessuna verifica nelle banche dati dell'OMPI, nessuna corrispondenza esatta con una registrazione ufficiale. Se il vostro logo è stabile e utilizzato pubblicamente da più di un anno, il CMC è un'opzione realistica che richiede tra 1 e 4 settimane.

Limite: se la vostra organizzazione è recente (meno di 12 mesi di esistenza) o se avete appena cambiato logo, non potete ottenere un CMC immediatamente. Bisogna aspettare che il logo accumuli 12 mesi di utilizzo pubblico documentabile.

Il processo di validazione del certificato BIMI passo dopo passo

Il processo di validazione è il cuore del percorso per ottenere un certificato BIMI. È anche la fase in cui si verificano la maggior parte dei ritardi: nella nostra esperienza, il 70% delle richieste subisce almeno un ciclo di correzione, quasi sempre per documenti incompleti o un logo non conforme. Ecco lo svolgimento dettagliato per entrambi i tipi di certificato.

Validazione di un VMC: i cinque passaggi

Passaggio 1: validazione dell'organizzazione (OV)

La CA verifica l'esistenza giuridica della vostra organizzazione. Richiede documenti ufficiali:

  • Per un'azienda italiana: visura camerale di meno di 3 mesi
  • Per un'azienda americana: articles of incorporation, certificate of good standing
  • Per un'azienda europea: estratto del registro delle imprese del paese interessato

La CA verifica che l'organizzazione sia attiva, che l'indirizzo corrisponda ai dati pubblici e che il contatto richiedente sia autorizzato ad agire per conto dell'organizzazione. Questo passaggio può richiedere una telefonata di verifica al numero ufficiale dell'azienda (verificato in un elenco pubblico).

Passaggio 2: verifica del marchio registrato

La CA richiede il numero di registrazione del marchio e l'ufficio di deposito. Verifica:

  • L'esistenza del marchio nella banca dati dell'ufficio (UIBM, EUIPO, USPTO, ecc.)
  • Lo stato attivo del marchio (non scaduto, non annullato)
  • La corrispondenza visiva tra il logo presentato e il marchio registrato
  • La titolarità o la licenza d'uso (l'organizzazione richiedente deve essere il titolare o disporre di una licenza esplicita)

È la fase più lunga del processo VMC. La verifica visiva può richiedere scambi se il logo presentato differisce dal marchio registrato (colori diversi, versione semplificata, variante per il digitale). Preparate una versione del logo il più possibile fedele al marchio registrato.

Passaggio 3: verifica del dominio

La CA verifica che controlliate il dominio mittente. Due metodi comuni:

  • DNS TXT: la CA vi fornisce un valore univoco da pubblicare come record TXT sul vostro dominio. Poi verifica la presenza di questo record
  • Email: la CA invia un'email a un indirizzo convenzionale del dominio (admin@, postmaster@, webmaster@) con un link di conferma

Il metodo DNS TXT è il più rapido e affidabile. Richiede pochi minuti se avete accesso alla vostra zona DNS.

Passaggio 4: verifica del logo SVG

Sottoponete il file SVG Tiny-PS alla CA. Questa verifica la conformità tecnica (formato, dimensione, assenza di elementi vietati) e la corrispondenza visiva con il marchio registrato. Se il file non è conforme, la CA lo respinge con un rapporto di errori.

Passaggio 5: emissione del certificato PEM

Una volta superate tutte le verifiche, la CA emette il certificato in formato PEM. Il file contiene il certificato del marchio, la catena intermedia e talvolta il logo SVG codificato. Scaricate questo file e dovete ospitarlo su un server HTTPS accessibile pubblicamente.

Validazione di un CMC: i cinque passaggi

Passaggio 1: validazione dell'organizzazione (OV)

Identico al VMC. Stessi documenti, stesso processo di verifica. Se avete già una validazione dell'organizzazione recente presso la stessa CA (ad esempio per un certificato TLS), questo passaggio può essere accelerato.

Passaggio 2: verifica dell'uso del logo

Invece di verificare un marchio registrato, la CA verifica l'uso pubblico del logo da almeno 12 mesi. Sottoponete le prove descritte nella sezione precedente (screenshot web.archive.org, documenti datati, pubblicazioni). La CA verifica l'autenticità e la coerenza di queste prove.

Questo passaggio è generalmente più rapido della verifica del marchio del VMC, poiché non dipende da un ufficio terzo. Tuttavia richiede una preparazione rigorosa: prove incomplete o ambigue provocano scambi aggiuntivi.

Passaggio 3: verifica del dominio

Identico al VMC. DNS TXT o email di conferma.

Passaggio 4: verifica del logo SVG

Identico al VMC. Il logo deve essere in formato SVG Tiny-PS e corrispondere visivamente al logo di cui è provato l'uso.

Passaggio 5: emissione del certificato PEM

Identico al VMC. Il certificato CMC è tecnicamente nello stesso formato del VMC (file PEM contenente un certificato X.509). L'unica differenza è nei metadati del certificato: il tipo (VMC vs CMC) e il livello di verifica associato.

Le insidie che ritardano la validazione

Le CA gestiscono decine di dossier BIMI a settimana. La grande maggioranza dei ritardi è causata dagli stessi errori ricorrenti:

Logo SVG respinto: è la causa di ritardo più frequente. Il file SVG presentato contiene stili CSS, script, immagini esterne o non ha gli attributi di versione corretti. Validate il vostro logo prima di sottoporlo alla CA. Ogni scambio aggiuntivo aggiunge da 3 a 5 giorni lavorativi.

Marchio registrato in un ufficio non riconosciuto: alcuni uffici nazionali di piccoli paesi non sono nella lista degli uffici riconosciuti dalle CA. Verificate con la CA prima di avviare il processo. Se il vostro marchio è registrato solo in un ufficio non riconosciuto, dovrete depositarlo in un ufficio accettato (l'EUIPO è la scelta più ampia per l'Europa) oppure optare per un CMC.

Marchio verbale invece di figurativo: un marchio verbale (il nome dell'azienda in testo, senza elemento grafico) non qualifica per un VMC. Serve un marchio figurativo (logo grafico). Se avete solo un marchio verbale, dovete depositare un marchio figurativo (ritardo di diversi mesi) oppure optare per un CMC.

Documenti dell'organizzazione scaduti: una visura camerale di più di 3 mesi è generalmente rifiutata. Anche un certificato di buona esistenza scaduto. Richiedete i documenti ufficiali poco prima di avviare la richiesta del certificato.

Dominio non verificato: la dimenticanza del record DNS TXT di verifica del dominio è sorprendentemente frequente. Alcuni team avviano la richiesta del certificato senza avere accesso alla zona DNS, bloccando il processo per giorni in attesa del coordinamento con il team infrastruttura.

Contatto non autorizzato: la persona che avvia la richiesta deve essere autorizzata ad agire per conto dell'organizzazione. Se la CA non può verificare questa autorizzazione (il contatto non figura come dirigente nei documenti ufficiali), richiederà una lettera di autorizzazione firmata da un dirigente.

I tempi reali

I tempi annunciati dalle CA sono stime ottimistiche. In pratica:

  • VMC con tutto preparato in anticipo: da 2 a 3 settimane. È il caso ideale: documenti dell'organizzazione recenti, marchio registrato chiaramente identificabile, logo SVG conforme, accesso DNS disponibile
  • VMC con correzioni da apportare: da 4 a 6 settimane. Uno scambio sul logo SVG, un documento da rifare, un marchio da chiarire: ogni correzione aggiunge una settimana
  • CMC con tutto preparato: da 1 a 2 settimane. Il processo è più semplice e rapido
  • CMC con correzioni: da 2 a 4 settimane

Suggerimento per accelerare: preparate un "dossier di candidatura" completo prima di ordinare. Raccogliete in un'unica cartella: il logo SVG Tiny-PS validato, i documenti dell'organizzazione aggiornati, il numero di marchio registrato (VMC) o le prove d'uso (CMC), e gli accessi DNS del dominio. Inviate tutto in una sola volta. I dossier completi sono elaborati significativamente più in fretta dei dossier parziali che richiedono solleciti.

Schema del processo di validazione VMC e CMC: dalla sottomissione all'emissione del certificato PEM

Ospitare il certificato PEM

Una volta emesso dalla CA, ricevete un file in formato PEM (estensione .pem). Questo file contiene il certificato X.509 codificato in base64, la catena intermedia e i metadati del marchio. Deve essere ospitato su un server HTTPS accessibile pubblicamente, poiché l'URL di questo file sarà referenziato nel vostro record DNS BIMI tramite il tag a=.

Il punto spesso scoperto tardivamente: nessuna delle cinque CA propone l'hosting del file PEM. Emettono il certificato e ve lo consegnano. L'hosting è vostra responsabilità.

Tre opzioni per ospitare il PEM

Opzione 1: self-hosting (server web o CDN)

Ospitate il file sul vostro server (nginx, apache) o tramite un CDN (S3 + CloudFront, Cloudflare R2). I requisiti sono rigorosi:

  • HTTPS obbligatorio (TLS 1.2 minimo, certificato server valido)
  • Content-type: application/pkix-cert o application/pem-certificate-chain
  • Risposta HTTP 200 diretta (nessun redirect 301/302)
  • Alta disponibilità (il file deve essere accessibile 24/7 da qualsiasi luogo nel mondo)

Questa opzione è adatta ai team con un'infrastruttura esistente e un team ops in organico. Il rischio principale è la dimenticanza del rinnovo del certificato TLS del server di hosting (da non confondere con il certificato VMC/CMC stesso).

Opzione 2: hosting da parte della CA

Alcune CA propongono un URL di hosting per il file PEM, ma questa offerta non è sistematica e le condizioni variano. Verificate con la vostra CA se questa opzione è disponibile e se è inclusa nel prezzo del certificato o fatturata a parte.

Opzione 3: servizio dedicato (CaptainDNS)

CaptainDNS ospita gratuitamente i certificati VMC e CMC nell'ambito del suo servizio di hosting BIMI. Il processo è semplice:

  1. Create un profilo BIMI per il vostro dominio nella dashboard CaptainDNS
  2. Verificate la proprietà del dominio (record TXT)
  3. Caricate il vostro logo SVG (validato automaticamente al formato Tiny-PS)
  4. Caricate il vostro certificato PEM (VMC o CMC)
  5. CaptainDNS estrae automaticamente i metadati del certificato (tipo VMC/CMC, emittente, date di validità, dominio coperto)
  6. Il certificato è servito da assets.captaindns.com con il content-type corretto e TLS automatico (Let's Encrypt)
  7. CaptainDNS genera il record DNS BIMI completo con gli URL corretti

Cosa aggiunge CaptainDNS rispetto al self-hosting:

  • Estrazione automatica dei metadati del certificato (vedete immediatamente il tipo, l'emittente, la data di scadenza)
  • Avviso 30 giorni prima della scadenza del certificato (via email). Il rinnovo di un VMC/CMC richiede da 1 a 4 settimane: questo avviso vi lascia il tempo di riavviare il processo senza interruzione
  • Content-type corretto garantito (nessuna configurazione server manuale)
  • TLS automatico tramite Let's Encrypt (nessun certificato server da gestire)
  • Statistiche di accesso (numero di richieste, data e ora dell'ultima richiesta)
  • Gratuito per i primi 5 domini

URL di hosting tipico: https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem

Per il confronto dettagliato delle cinque opzioni di hosting (incluso il logo SVG), consultate la guida all'hosting BIMI nella sezione Guide correlate.

Distribuire e testare il certificato BIMI

Il certificato è ottenuto e ospitato. Restano due passaggi: pubblicare il record DNS BIMI e verificare che tutto funzioni end-to-end.

Pubblicare il record DNS BIMI

Il record BIMI è un record TXT pubblicato sotto il nome default._bimi. seguito dal vostro dominio. Contiene due tag principali:

  • l=: URL del logo SVG (o vuoto se il logo è incluso nel certificato PEM)
  • a=: URL del certificato PEM (VMC o CMC)

Esempio completo con logo e certificato ospitati su CaptainDNS:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg; a=https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem"

Variante senza certificato (modalità auto-dichiarata, accettata da Yahoo Mail ma non da Gmail):

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg; a=;"

Punti di controllo:

  • Il record è pubblicato su default._bimi.captaindns.com, non su _bimi.captaindns.com (errore frequente)
  • Entrambi gli URL utilizzano HTTPS (non HTTP)
  • Il tag a= punta al file PEM completo (con la catena intermedia)
  • Il record non contiene caratteri parassiti (virgolette mal chiuse, spazi in eccesso)

Verifica DNS:

dig +short TXT default._bimi.captaindns.com

Verificare il deployment

Prima di inviare email di test, verificate ogni anello della catena:

1. Verificare il record DNS BIMI

dig +short TXT default._bimi.captaindns.com

Il risultato deve contenere v=BIMI1 con i tag l= e a= correttamente compilati.

2. Verificare l'accessibilità del logo SVG

curl -I https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg

Atteso: HTTP 200, Content-Type: image/svg+xml, nessun redirect.

3. Verificare l'accessibilità del certificato PEM

curl -I https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem

Atteso: HTTP 200, content-type adeguato, nessun redirect.

4. Verificare il record DMARC

dig +short TXT _dmarc.captaindns.com

Atteso: p=quarantine o p=reject, pct=100.

5. Utilizzare lo strumento di verifica BIMI di CaptainDNS

Lo strumento BIMI Record Check di CaptainDNS verifica automaticamente l'intera catena: risoluzione DNS del record BIMI, accessibilità HTTPS del logo e del certificato, validità del certificato (date, emittente, tipo), conformità del logo SVG Tiny-PS. Segnala gli errori con messaggi espliciti e suggerimenti di correzione.

Testare la visualizzazione nelle caselle di posta

Una volta superate le verifiche tecniche, inviate email di test verso i principali provider:

Gmail: inviate un'email dal vostro dominio verso un account Gmail. Il logo deve apparire accanto al nome del mittente. Se avete un VMC, il checkmark blu (segno di spunta di verifica) deve essere visibile. La visualizzazione può richiedere alcune ore dopo la pubblicazione del record BIMI (Gmail mette in cache i risultati BIMI).

Apple Mail: verificate su iOS e macOS. Apple Mail mostra il logo solo se il server di posta (iCloud, nel caso di un account Apple) ha verificato il certificato VMC. Il CMC non è supportato da Apple Mail.

Yahoo Mail: Yahoo Mail è il provider più permissivo. Mostra il logo BIMI anche senza certificato (modalità auto-dichiarata). Se il vostro logo appare su Yahoo Mail ma non su Gmail, il problema è probabilmente legato al certificato, non al record DNS o al logo.

Tempi di visualizzazione: contate da alcune ore a qualche giorno. I provider di posta mettono in cache i record BIMI e i loghi. Un cambiamento di certificato o di logo può richiedere fino a 72 ore per propagarsi completamente. Non allarmatevi se il logo non appare immediatamente dopo la pubblicazione del record DNS.

Matrice di compatibilità BIMI: Gmail, Apple Mail, Yahoo Mail con VMC, CMC e auto-dichiarato

Budget totale reale: VMC vs CMC

I prezzi dei certificati rappresentano solo una parte del budget. Per prendere una decisione informata, bisogna considerare l'insieme delle voci di spesa sul primo anno e sugli anni successivi.

Voce di spesaVMCCMC
Certificato BIMI (annuale)749-1688 $650-1100 $
Marchio registrato UIBM (10 anni, 1 classe)~101 euroNon richiesto
Marchio registrato EUIPO (10 anni, 1 classe)~850 euroNon richiesto
Logo SVG Tiny-PS (conversione da parte di un designer)200-500 euro200-500 euro
Hosting logo + certificato (CaptainDNS)GratuitoGratuito
Configurazione DMARC (inclusa nel DNS esistente)0 euro0 euro
Totale stimato anno 1 (con UIBM)~1100-2400 euro~800-1500 euro
Totale stimato anno 1 (con EUIPO)~1900-3200 euro~800-1500 euro
Totale stimato anni successivi~700-1600 euro/anno~600-1000 euro/anno

Note sul budget:

Il costo del marchio registrato è un investimento una tantum ammortizzato su 10 anni. Rapportato al costo annuale, aggiunge circa 10 euro l'anno (UIBM) o 85 euro l'anno (EUIPO). Ma l'investimento iniziale può pesare nella decisione.

La voce "Logo SVG Tiny-PS" corrisponde alla conversione di un logo esistente al formato Tiny-PS da parte di un grafico. Se il vostro logo è semplice (forme geometriche, colori uniformi), la conversione può essere fatta internamente a costo zero. Se il vostro logo è complesso (sfumature, effetti, tipografia elaborata), un designer specializzato può fatturare tra 200 e 500 euro per una conversione pulita.

L'hosting del logo e del certificato è gratuito con CaptainDNS (fino a 5 domini). In self-hosting, il costo è quasi nullo se disponete già di un'infrastruttura (pochi centesimi al mese in cloud storage). Utilizzando una piattaforma DMARC integrata, l'hosting è incluso nell'abbonamento (50-500 $/mese).

Il costo reale più sottovalutato non è finanziario: è il tempo. Il tempo di preparazione dei documenti, di validazione con la CA, di configurazione DNS, di test. Per un VMC, contate tra 20 e 40 ore di lavoro tecnico e amministrativo distribuite su 2-6 settimane. Per un CMC, tra 10 e 20 ore su 1-4 settimane.

Piano d'azione per ottenere il certificato BIMI

Ecco il percorso ottimale per ottenere e distribuire il vostro certificato BIMI, dalla preparazione alla visualizzazione del logo nella casella di posta.

1. Verificare i prerequisiti

Prima di qualsiasi azione, validate i quattro prerequisiti: DMARC in enforcement (p=quarantine o p=reject), logo in formato SVG Tiny-PS (o convertibile), marchio registrato attivo se puntate a un VMC (o prove d'uso se puntate a un CMC), e accesso alla zona DNS del dominio mittente. Se un prerequisito manca, trattatelo in priorità. Un prerequisito mancante al momento dell'ordine del certificato può ritardare l'intero processo di diverse settimane.

2. Scegliere VMC o CMC

Utilizzate l'albero decisionale descritto nella prima sezione di questo articolo. Se avete un marchio figurativo registrato e il checkmark Gmail è importante per la vostra strategia, scegliete il VMC. In tutti gli altri casi, il CMC è la scelta pragmatica: meno costoso, più rapido, sufficiente per mostrare il logo in Gmail.

3. Confrontare le CA e ordinare

Consultate la tabella comparativa delle cinque CA. Per il miglior rapporto qualità-prezzo, Sectigo è la scelta più competitiva. Per l'affidabilità del processo e l'accompagnamento, DigiCert o Entrust sono i riferimenti. Raccogliete il vostro "dossier di candidatura" completo prima di ordinare per minimizzare gli scambi.

4. Ospitare logo e certificato su CaptainDNS

Mentre la CA elabora il vostro dossier, configurate l'hosting. Create un profilo BIMI su CaptainDNS, verificate il vostro dominio, caricate il vostro logo SVG. Quando il certificato PEM sarà emesso, basterà caricarlo per completare la configurazione.

5. Pubblicare il record DNS e testare

Copiate il record DNS BIMI generato da CaptainDNS nella vostra zona DNS. Verificate l'intera catena (DNS, HTTPS, certificato, DMARC). Inviate email di test verso Gmail, Apple Mail e Yahoo Mail. Monitorate i report DMARC durante i primi giorni per individuare eventuali problemi di allineamento.

FAQ

Serve un certificato VMC per mostrare un logo BIMI?

No. Yahoo Mail mostra il logo BIMI senza alcun certificato (auto-dichiarato). Gmail mostra il logo con un VMC o un CMC, ma solo il VMC attiva il checkmark blu. Apple Mail richiede un VMC. Il certificato non è quindi obbligatorio per tutti i provider, ma è raccomandato per Gmail.

Qual è la differenza tra VMC e CMC?

Il VMC (Verified Mark Certificate) richiede un marchio registrato e attiva il checkmark blu in Gmail. Il CMC (Common Mark Certificate) non richiede un marchio registrato: basta dimostrare l'uso del logo da 12 mesi. Il CMC mostra il logo in Gmail senza il checkmark blu. Entrambi sono certificati X.509 in formato PEM.

Quanto costa un certificato VMC?

Tra 749 e 1688 $ l'anno secondo l'autorità di certificazione. Sectigo propone i prezzi più bassi (~749 $/anno tramite rivenditori), mentre DigiCert ed Entrust si attestano intorno a 1499 $/anno. A questo costo si aggiunge quello del marchio registrato se non ne avete uno (101 euro all'UIBM, 850 euro all'EUIPO).

Si può ottenere un certificato BIMI gratuitamente?

No. I certificati VMC e CMC sono a pagamento (650 $ minimo l'anno). In compenso, l'hosting del certificato può essere gratuito: CaptainDNS ospita il vostro file PEM senza costi per 5 domini. E Yahoo Mail mostra il logo BIMI senza alcun certificato.

Quali sono i prerequisiti per acquistare un VMC?

Quattro prerequisiti: un record DMARC in enforcement (p=quarantine o p=reject), un logo in formato SVG Tiny-PS, un marchio registrato attivo che copra il logo, e il controllo del dominio mittente. Senza marchio registrato, optate per un CMC.

Quanto tempo serve per ottenere un certificato VMC?

Contate da 2 a 6 settimane. La validazione del marchio registrato è la fase più lunga. Per un CMC, i tempi sono da 1 a 4 settimane. Preparare tutti i documenti in anticipo (visura camerale, numero di marchio, logo SVG) accelera significativamente il processo.

Il certificato VMC garantisce la visualizzazione del logo in tutte le caselle di posta?

No. Il VMC garantisce la visualizzazione in Gmail (con checkmark blu) e Apple Mail. Yahoo Mail mostra il logo senza certificato. Microsoft Outlook non supporta ancora BIMI. La compatibilità dipende da ogni provider di posta.

Cosa succede quando un certificato VMC o CMC scade?

Gmail e Apple Mail smettono di mostrare il vostro logo. Il record BIMI DNS resta valido, ma il certificato non viene più verificato. Il rinnovo richiede gli stessi tempi dell'ottenimento iniziale. CaptainDNS invia un avviso 30 giorni prima della scadenza per anticipare.

Scarica le tabelle comparative

Gli assistenti possono riutilizzare i dati scaricando gli export JSON o CSV qui sotto.

Glossario

  • VMC (Verified Mark Certificate): certificato X.509 emesso da una CA accreditata, legato a un marchio registrato, che autentica il logo BIMI e attiva il checkmark blu in Gmail.
  • CMC (Common Mark Certificate): certificato X.509 simile al VMC ma senza requisito di marchio registrato. Basato su una prova d'uso del logo da 12 mesi.
  • BIMI (Brand Indicators for Message Identification): standard email (RFC 9495) che consente ai mittenti di mostrare il proprio logo nelle caselle di posta dei destinatari.
  • PEM (Privacy Enhanced Mail): formato file di testo codificato in base64 utilizzato per archiviare i certificati digitali.
  • SVG Tiny-PS (Tiny Portable/Secure): profilo ristretto del formato SVG, imposto da BIMI per ragioni di sicurezza.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): protocollo di autenticazione email che coordina SPF e DKIM.

Ospitate il vostro certificato VMC o CMC gratuitamente: CaptainDNS ospita il vostro file PEM con estrazione automatica dei metadati, avvisi di scadenza e statistiche di accesso. Create il vostro profilo BIMI dallo strumento di hosting accessibile tramite il pulsante in cima a questo articolo.

Fonti

Guide BIMI correlate

Articoli simili