Defaults.Exposed › Rapports
Qui émet les certificats TLS du Web ? Deux AC gratuites détiennent désormais 75 % (2026)
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées : l’AC émettrice de chaque certificat que nous avons observé, fusionnées par famille (par ex. les intermédiaires rattachés à leur parent), sur 197 millions de certificats. Voir comment nous évaluons.
Les certificats gratuits et automatisés ont conquis le web : deux AC gratuites émettent désormais 74,7% de tous les certificats TLS. Sur 197 millions de certificats, Let's Encrypt représente à elle seule 57,2% et Google Trust Services 17,6%. Le marché des certificats payants qui a défini les deux premières décennies de HTTPS a été supplanté par des certificats gratuits émis via API — un basculement discret mais énorme dans la question de savoir qui soutient le chiffrement du web.
Le classement des autorités de certification
Part des certificats observés par AC émettrice, au 2026-06-29 :
| Autorité de certification | Part | Modèle |
|---|---|---|
| Let's Encrypt | 57,2% | Gratuit, automatisé |
| Google Trust Services | 17,6% | Gratuit, automatisé |
| GoDaddy | 12,0% | Intégré par le registraire/hébergeur |
| Sectigo | 4,2% | Commercial |
| DigiCert | 2,0% | Commercial |
Les deux premières — toutes deux gratuites — émettent ensemble 74,7%. Ajoutez les certificats intégrés par le registraire/hébergeur en troisième position, et une nette majorité du web chiffré repose sur des certificats que personne n’a payés directement.
Pourquoi cela s’est produit
Deux forces ont convergé : Let’s Encrypt a rendu les certificats gratuits et scriptables en 2015, et le protocole ACME a permis aux hébergeurs de les émettre et de les renouveler automatiquement, sans intervention humaine. Google, Cloudflare, Amazon et les grandes plateformes d’hébergement ont ensuite intégré l’émission gratuite dans leurs stacks. Résultat : pour la plupart des propriétaires de sites, un certificat est aujourd’hui un réglage par défaut invisible — provisionné et renouvelé automatiquement — plutôt qu’un achat annuel.
Ce que signifie cette concentration
- La fiabilité est surtout un gain. Le renouvellement automatique est précisément la raison pour laquelle moins de certificats expirent qu’à l’ère manuelle — même si 8,57% des certificats restent invalides, souvent là où l’automatisation n’est pas en place.
- C’est aussi de la concentration. Une très grande part de la confiance du web transite désormais par un petit nombre d’émetteurs ; une panne ou un incident de confiance chez une AC de premier plan a une portée démesurée. C’est l’écho, à la couche des certificats, de la concentration des serveurs de noms que nous observons dans le DNS.
- Les certificats auto-signés et par défaut subsistent encore dans la longue traîne — des noms d’émetteur comme « Internet Widgits Pty Ltd » (la valeur par défaut d’OpenSSL) apparaissent sur des centaines de milliers de domaines, chacun d’eux déclenchant un avertissement du navigateur.
Foire aux questions
Quelle autorité de certification est la plus utilisée ? Let's Encrypt, avec 57,2% de tous les certificats observés au 2026-06-29 — suivie de Google Trust Services à 17,6%.
Les certificats gratuits sont-ils aussi sûrs que les payants ? Pour le TLS validé par domaine — le chiffrement et la confiance du navigateur — oui ; un certificat gratuit Let’s Encrypt et un certificat DV payant sont cryptographiquement équivalents. Les AC payantes se différencient sur la validation d’organisation, les garanties et le support, pas sur la solidité du chiffrement.
Est-il risqué que deux AC émettent la plupart des certificats ? Cela centralise la confiance et le risque opérationnel, mais les deux leaders sont bien gérés et l’automatisation a mesurablement amélioré l’hygiène des certificats sur tout le web. La préoccupation liée au risque systémique est réelle, mais elle a jusqu’ici été compensée par les gains de fiabilité.
L’AC de mon certificat influe-t-elle sur ma note de sécurité ? Non — la note examine si votre certificat est valide et de confiance, pas qui l’a émis. Un certificat gratuit et valide obtient la même note qu’un payant.
Vérifiez que votre certificat est valide et de confiance
L’émetteur n’a pas d’importance pour votre note — la validité, si. Vérifiez votre domaine gratuitement et en toute confidentialité.
Vérifiez votre domaine → · Le rapport d’erreurs de certificat → · Pourquoi mon site affiche-t-il « Non sécurisé » ? → · Données agrégées uniquement. Données stockées et traitées dans l’UE.