Defaults.Exposed › Доклади
Кой издава TLS сертификатите на уеба? Два безплатни CA вече притежават 75% (2026)
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването: издаващият CA на всеки наблюдаван сертификат, обединен по семейства (напр. посредниците са включени в родителите им), от 197 милиона сертификата. Вижте как оценяваме.
Безплатните, автоматизирани сертификати завладяха уеба: два безплатни CA вече издават 74.7% от всички TLS сертификати. От 197 милиона сертификата Let's Encrypt сам представлява 57.2%, а Google Trust Services — 17.6%. Платеният пазар на сертификати, определял първите две десетилетия на HTTPS, е изместен от безплатни, издавани чрез API сертификати — тихо, но огромно изместване в това кой поддържа уеб криптирането.
Таблицата на лигата на центровете за сертификати
Дял на наблюдаваните сертификати по издаващ CA, към 2026-06-29:
| Център за сертификати | Дял | Модел |
|---|---|---|
| Let's Encrypt | 57.2% | Безплатен, автоматизиран |
| Google Trust Services | 17.6% | Безплатен, автоматизиран |
| GoDaddy | 12.0% | Включен от регистратор/хост |
| Sectigo | 4.2% | Търговски |
| DigiCert | 2.0% | Търговски |
Първите два — и двата безплатни — издават 74.7% между тях. Добавете включените от регистратор/хост сертификати на трето място и ясното мнозинство от криптирания уеб е на сертификати, за които никой не е платил директно.
Защо това се случи
Две сили се събраха: Let’s Encrypt направи сертификатите безплатни и скриптируеми от 2015 г., а протоколът ACME позволи на хостовете да издават и подновяват автоматично без участие на човек. Тогава Google, Cloudflare, Amazon и основните хостинг платформи включиха безплатното издаване в своите инфраструктури. Резултатът е, че за повечето собственици на сайтове сертификатът вече е невидима настройка по подразбиране — провизирана и подновявана автоматично — а не годишна покупка.
Какво означава концентрацията
- Надеждността е предимно плюс. Автоматичното подновяване е именно причината по-малко сертификати да изтичат, отколкото в ерата на ръчното управление — въпреки това 8.57% от сертификатите все още са невалидни, обикновено там, където автоматизацията не е свързана.
- Това е и концентрация. Много голям дял от доверието на уеба сега тече през малък брой издатели; прекъсване или събитие за доверие при водещ CA има несъразмерен обхват. Това е ехо на концентрацията на сървъри за имена, която виждаме в DNS.
- Самоподписаните и сертификатите по подразбиране все още се задържат в дългата опашка — имена на издатели като „Internet Widgits Pty Ltd” (стандартният за OpenSSL) се появяват на стотици хиляди домейни, всеки от тях с предупреждение в браузъра.
Често задавани въпроси
Кой е най-използваният център за сертификати? Let's Encrypt, с 57.2% от всички наблюдавани сертификати към 2026-06-29 — следван от Google Trust Services с 17.6%.
Толкова ли са сигурни безплатните сертификати, колкото платените? За домейн-валидирано TLS — криптирането и доверието от браузъра — да; безплатен Let’s Encrypt сертификат и платен DV сертификат са криптографски еквивалентни. Платените CA се разграничават с организационна валидация, гаранции и поддръжка, не чрез силата на криптирането.
Рискован ли е фактът, че два CA издават повечето сертификати? Централизира доверието и операционния риск, но и двамата лидери са добре управлявани, а автоматизацията е измеримо подобрила хигиената на сертификатите в целия уеб. Притеснението за системен риск е реално, но засега е надвишено от ползите за надеждността.
Влияе ли CA на моя сертификат на оценката ми за сигурност? Не — оценката разглежда дали вашият сертификат е валиден и доверен, не кой го е издал. Безплатен, валиден сертификат получава същата оценка като платен.
Проверете дали сертификатът ви е валиден и доверен
Издателят няма значение за оценката ви — валидността има. Проверете домейна си безплатно и частно.
Проверете домейна си → · Докладът за грешки в сертификатите → · Защо сайтът ми казва „Не е защитено”? → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.