Defaults.Exposed › Berichte
Wer stellt die TLS-Zertifikate des Webs aus? Zwei kostenlose CAs beherrschen jetzt 75 % (2026)
Veröffentlicht 2026-06-29
Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Zensusdaten: die ausstellende CA jedes von uns beobachteten Zertifikats, nach Familien zusammengeführt (z. B. Zwischenzertifikate ihrem übergeordneten Zertifikat zugeordnet), über 197 Millionen Zertifikate hinweg. Siehe wie wir bewerten.
Kostenlose, automatisierte Zertifikate haben das Web erobert: Zwei kostenlose CAs stellen inzwischen 74,7% aller TLS-Zertifikate aus. Über 197 Millionen Zertifikate hinweg entfallen allein auf Let's Encrypt 57,2% und auf Google Trust Services 17,6%. Der Markt für kostenpflichtige Zertifikate, der die ersten beiden Jahrzehnte von HTTPS prägte, wurde durch kostenlose, per API ausgestellte Zertifikate verdrängt — ein stiller, aber enormer Wandel bei der Frage, wer die Web-Verschlüsselung trägt.
Die Rangliste der Zertifizierungsstellen
Anteil der beobachteten Zertifikate nach ausstellender CA, Stand 2026-06-29:
| Zertifizierungsstelle | Anteil | Modell |
|---|---|---|
| Let's Encrypt | 57,2% | Kostenlos, automatisiert |
| Google Trust Services | 17,6% | Kostenlos, automatisiert |
| GoDaddy | 12,0% | Über Registrar/Hoster gebündelt |
| Sectigo | 4,2% | Kommerziell |
| DigiCert | 2,0% | Kommerziell |
Die beiden Spitzenreiter — beide kostenlos — stellen zusammen 74,7% aus. Rechnet man die über Registrar/Hoster gebündelten Zertifikate auf Platz drei hinzu, läuft eine klare Mehrheit des verschlüsselten Webs auf Zertifikaten, für die niemand direkt bezahlt hat.
Warum es dazu kam
Zwei Kräfte trafen zusammen: Let’s Encrypt machte Zertifikate 2015 kostenlos und skriptfähig, und das ACME-Protokoll ermöglichte Hostern, sie ohne menschliches Zutun automatisch auszustellen und zu erneuern. Google, Cloudflare, Amazon und die großen Hosting-Plattformen integrierten die kostenlose Ausstellung dann fest in ihre Stacks. Das Ergebnis: Für die meisten Website-Betreiber ist ein Zertifikat heute ein unsichtbarer Standard — automatisch bereitgestellt und erneuert — statt eines jährlichen Kaufs.
Was die Konzentration bedeutet
- Zuverlässigkeit ist überwiegend ein Gewinn. Die automatische Erneuerung ist genau der Grund, warum weniger Zertifikate ablaufen als in der manuellen Ära — auch wenn 8,57% der Zertifikate weiterhin ungültig sind, oft dort, wo keine Automatisierung eingerichtet ist.
- Es ist aber auch Konzentration. Ein sehr großer Teil des Vertrauens im Web fließt nun über eine kleine Zahl von Ausstellern; ein Ausfall oder ein Vertrauensvorfall bei einer der führenden CAs hat übergroße Reichweite. Es ist das Echo der Nameserver-Konzentration, das wir im DNS sehen, auf der Zertifikatsebene.
- Selbstsignierte und Standardzertifikate halten sich weiterhin im langen Ende — Aussteller-Namen wie „Internet Widgits Pty Ltd” (der OpenSSL-Standard) erscheinen auf Hunderttausenden von Domains, und jedes einzelne davon löst eine Browser-Warnung aus.
Häufig gestellte Fragen
Welche Zertifizierungsstelle wird am meisten genutzt? Let's Encrypt, mit 57,2% aller beobachteten Zertifikate, Stand 2026-06-29 — gefolgt von Google Trust Services mit 17,6%.
Sind kostenlose Zertifikate genauso sicher wie kostenpflichtige? Für domainvalidiertes TLS — die Verschlüsselung und das Browser-Vertrauen — ja; ein kostenloses Let’s-Encrypt-Zertifikat und ein kostenpflichtiges DV-Zertifikat sind kryptografisch gleichwertig. Kostenpflichtige CAs differenzieren sich über Organisationsvalidierung, Garantien und Support, nicht über die Stärke der Verschlüsselung.
Ist es riskant, dass zwei CAs die meisten Zertifikate ausstellen? Es zentralisiert Vertrauen und operatives Risiko, aber beide Marktführer sind gut geführt, und die Automatisierung hat die Zertifikatshygiene im gesamten Web messbar verbessert. Die Sorge um das systemische Risiko ist real, wurde bisher aber durch die Zuverlässigkeitsgewinne aufgewogen.
Beeinflusst die CA meines Zertifikats meine Sicherheitsbewertung? Nein — die Bewertung prüft, ob Ihr Zertifikat gültig und vertrauenswürdig ist, nicht, wer es ausgestellt hat. Ein kostenloses, gültiges Zertifikat erhält dieselbe Bewertung wie ein kostenpflichtiges.
Prüfen Sie, ob Ihr Zertifikat gültig und vertrauenswürdig ist
Der Aussteller spielt für Ihre Bewertung keine Rolle — die Gültigkeit schon. Prüfen Sie Ihre Domain kostenlos und vertraulich.
Prüfen Sie Ihre Domain → · Der Zertifikatsfehler-Bericht → · Warum sagt meine Website „Nicht sicher”? → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.