Defaults.Exposed › Informes
¿Quién emite los certificados TLS de la web? Dos CA gratuitas ya controlan el 75 % (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo: la CA emisora de cada certificado que observamos, fusionados por familia (p. ej., los intermedios agrupados con su matriz), en 197 millones de certificados. Consulta cómo evaluamos.
Los certificados gratuitos y automatizados se han adueñado de la web: dos CAs gratuitas emiten ya el 74,7% de todos los certificados TLS. A lo largo de 197 millones de certificados, Let's Encrypt representa por sí sola el 57,2% y Google Trust Services el 17,6%. El mercado de los certificados de pago que definió las dos primeras décadas de HTTPS ha sido desplazado por certificados gratuitos emitidos mediante API: un cambio silencioso pero enorme en quién sostiene el cifrado de la web.
La tabla clasificatoria de autoridades de certificación
Cuota de certificados observados por CA emisora, a fecha de 2026-06-29:
| Autoridad de certificación | Cuota | Modelo |
|---|---|---|
| Let's Encrypt | 57,2% | Gratuito, automatizado |
| Google Trust Services | 17,6% | Gratuito, automatizado |
| GoDaddy | 12,0% | Incluido por registrador/hosting |
| Sectigo | 4,2% | Comercial |
| DigiCert | 2,0% | Comercial |
Las dos primeras —ambas gratuitas— emiten entre ambas el 74,7%. Si se suman los certificados incluidos por registrador/hosting en tercer lugar, una clara mayoría de la web cifrada funciona con certificados que nadie pagó directamente.
Por qué ocurrió esto
Convergieron dos fuerzas: Let’s Encrypt hizo que los certificados fueran gratuitos y programables en 2015, y el protocolo ACME permitió a los servidores emitirlos y renovarlos automáticamente sin intervención humana. Google, Cloudflare, Amazon y las grandes plataformas de hosting integraron entonces la emisión gratuita en sus stacks. El resultado es que, para la mayoría de los propietarios de sitios, un certificado es hoy un valor predeterminado invisible —aprovisionado y renovado automáticamente— en lugar de una compra anual.
Qué significa la concentración
- La fiabilidad es en su mayoría una ventaja. La renovación automática es precisamente el motivo por el que caducan menos certificados que en la era manual, aunque el 8,57% de los certificados sigan siendo inválidos, a menudo allí donde la automatización no está configurada.
- También es concentración. Una parte muy grande de la confianza de la web fluye ahora a través de un reducido número de emisores; una caída o un incidente de confianza en una CA líder tiene un alcance desmesurado. Es el eco, en la capa de certificados, de la concentración de servidores de nombres que vemos en el DNS.
- Los certificados autofirmados y predeterminados siguen persistiendo en la cola larga: nombres de emisor como «Internet Widgits Pty Ltd» (el predeterminado de OpenSSL) aparecen en cientos de miles de dominios, y cada uno de ellos es una advertencia del navegador.
Preguntas frecuentes
¿Cuál es la autoridad de certificación más utilizada? Let's Encrypt, con el 57,2% de todos los certificados observados a fecha de 2026-06-29, seguida de Google Trust Services con el 17,6%.
¿Son los certificados gratuitos tan seguros como los de pago? Para el TLS validado por dominio —el cifrado y la confianza del navegador— sí; un certificado gratuito de Let’s Encrypt y un certificado DV de pago son criptográficamente equivalentes. Las CAs de pago se diferencian en la validación de la organización, las garantías y el soporte, no en la solidez del cifrado.
¿Es arriesgado que dos CAs emitan la mayoría de los certificados? Centraliza la confianza y el riesgo operativo, pero ambas líderes están bien gestionadas y la automatización ha mejorado de forma medible la higiene de los certificados en toda la web. La preocupación por el riesgo sistémico es real, pero hasta ahora se ha visto compensada por las ganancias en fiabilidad.
¿Afecta la CA de mi certificado a mi nota de seguridad? No: la nota analiza si tu certificado es válido y de confianza, no quién lo emitió. Un certificado gratuito y válido obtiene la misma puntuación que uno de pago.
Comprueba que tu certificado es válido y de confianza
El emisor no importa para tu nota: la validez sí. Comprueba tu dominio de forma gratuita y privada.
Comprueba tu dominio → · El informe de errores de certificado → · ¿Por qué mi sitio dice «No seguro»? → · Solo datos agregados. Datos almacenados y procesados en la UE.