Defaults.Exposed › Zprávy
Kdo vydává TLS certifikáty webu? Dvě bezplatné CA nyní ovládají 75 % (2026)
Publikováno 2026-06-29
Údaje k 2026-06-29 · metodika v7. Agregovaná data ze sčítání: vydávající CA každého certifikátu, který jsme pozorovali, sloučené podle rodin (např. mezilehlé certifikáty přiřazené ke svému nadřazenému), napříč 197 miliony certifikátů. Viz jak hodnotíme.
Bezplatné, automatizované certifikáty ovládly web: dvě bezplatné CA nyní vydávají 74.7% všech TLS certifikátů. Napříč 197 miliony certifikátů připadá na samotnou Let's Encrypt 57.2% a na Google Trust Services 17.6%. Trh placených certifikátů, který vymezil první dvě desetiletí HTTPS, byl vytlačen bezplatnými certifikáty vydávanými přes API — tichý, ale obrovský posun v tom, kdo zajišťuje šifrování webu.
Žebříček certifikačních autorit
Podíl pozorovaných certifikátů podle vydávající CA, k 2026-06-29:
| Certifikační autorita | Podíl | Model |
|---|---|---|
| Let's Encrypt | 57.2% | Bezplatný, automatizovaný |
| Google Trust Services | 17.6% | Bezplatný, automatizovaný |
| GoDaddy | 12.0% | Součástí registrátora/hostingu |
| Sectigo | 4.2% | Komerční |
| DigiCert | 2.0% | Komerční |
První dvě — obě bezplatné — vydávají dohromady 74.7%. Přidejte certifikáty zahrnuté registrátorem/hostingem na třetím místě a jasná většina šifrovaného webu běží na certifikátech, za které nikdo přímo nezaplatil.
Proč k tomu došlo
Sešly se dvě síly: Let’s Encrypt učinil v roce 2015 certifikáty bezplatnými a skriptovatelnými a protokol ACME umožnil hostingům automaticky je vydávat a obnovovat bez zásahu člověka. Google, Cloudflare, Amazon a velké hostingové platformy poté zabudovaly bezplatné vydávání do svých stacků. Výsledkem je, že pro většinu majitelů webů je certifikát dnes neviditelné výchozí nastavení — automaticky poskytované a obnovované — namísto každoročního nákupu.
Co tato koncentrace znamená
- Spolehlivost je převážně přínos. Automatické obnovení je přesně důvod, proč vyprší méně certifikátů než v ruční éře — i když 8.57% certifikátů je stále neplatných, často tam, kde automatizace není zapojena.
- Je to ale také koncentrace. Velmi velký podíl důvěry webu nyní protéká malým počtem vydavatelů; výpadek nebo událost narušující důvěru u špičkové CA má nepřiměřený dosah. Je to ozvěna koncentrace jmenných serverů, kterou vidíme v DNS, na vrstvě certifikátů.
- Vlastnoručně podepsané a výchozí certifikáty stále přetrvávají v dlouhém chvostu — jména vydavatelů jako „Internet Widgits Pty Ltd” (výchozí hodnota OpenSSL) se objevují na stovkách tisíc domén a každá z nich je varováním prohlížeče.
Často kladené otázky
Která certifikační autorita se používá nejvíce? Let's Encrypt, s 57.2% všech pozorovaných certifikátů k 2026-06-29 — následovaná Google Trust Services s 17.6%.
Jsou bezplatné certifikáty stejně bezpečné jako placené? Pro TLS ověřené doménou — šifrování a důvěru prohlížeče — ano; bezplatný certifikát Let’s Encrypt a placený DV certifikát jsou kryptograficky rovnocenné. Placené CA se odlišují ověřením organizace, zárukami a podporou, nikoli silou šifrování.
Je riskantní, že dvě CA vydávají většinu certifikátů? Centralizuje to důvěru a provozní riziko, ale oba lídři jsou dobře řízeni a automatizace měřitelně zlepšila hygienu certifikátů napříč webem. Obava ze systémového rizika je reálná, ale dosud byla převážena zisky ve spolehlivosti.
Ovlivňuje CA mého certifikátu mé bezpečnostní hodnocení? Ne — hodnocení sleduje, zda je váš certifikát platný a důvěryhodný, nikoli kdo jej vydal. Bezplatný platný certifikát získá stejné skóre jako placený.
Ověřte, že je váš certifikát platný a důvěryhodný
Vydavatel pro vaše hodnocení nehraje roli — platnost ano. Ověřte svou doménu zdarma a soukromě.
Ověřte svou doménu → · Zpráva o chybách certifikátů → · Proč můj web říká „Nezabezpečeno”? → · Pouze agregovaná data. Data uložena a zpracovávána v EU.