Defaults.Exposed

Defaults.Exposed › Rapports

Qui émet les certificats TLS du Web ? Deux AC gratuites détiennent désormais 75 % (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées : l’AC émettrice de chaque certificat que nous avons observé, fusionnées par famille (par ex. les intermédiaires rattachés à leur parent), sur 197 millions de certificats. Voir comment nous évaluons.

Les certificats gratuits et automatisés ont conquis le web : deux AC gratuites émettent désormais 74,7% de tous les certificats TLS. Sur 197 millions de certificats, Let's Encrypt représente à elle seule 57,2% et Google Trust Services 17,6%. Le marché des certificats payants qui a défini les deux premières décennies de HTTPS a été supplanté par des certificats gratuits émis via API — un basculement discret mais énorme dans la question de savoir qui soutient le chiffrement du web.

Le classement des autorités de certification

Part des certificats observés par AC émettrice, au 2026-06-29 :

Autorité de certificationPartModèle
Let's Encrypt57,2%Gratuit, automatisé
Google Trust Services17,6%Gratuit, automatisé
GoDaddy12,0%Intégré par le registraire/hébergeur
Sectigo4,2%Commercial
DigiCert2,0%Commercial

Les deux premières — toutes deux gratuites — émettent ensemble 74,7%. Ajoutez les certificats intégrés par le registraire/hébergeur en troisième position, et une nette majorité du web chiffré repose sur des certificats que personne n’a payés directement.

Pourquoi cela s’est produit

Deux forces ont convergé : Let’s Encrypt a rendu les certificats gratuits et scriptables en 2015, et le protocole ACME a permis aux hébergeurs de les émettre et de les renouveler automatiquement, sans intervention humaine. Google, Cloudflare, Amazon et les grandes plateformes d’hébergement ont ensuite intégré l’émission gratuite dans leurs stacks. Résultat : pour la plupart des propriétaires de sites, un certificat est aujourd’hui un réglage par défaut invisible — provisionné et renouvelé automatiquement — plutôt qu’un achat annuel.

Ce que signifie cette concentration

Foire aux questions

Quelle autorité de certification est la plus utilisée ? Let's Encrypt, avec 57,2% de tous les certificats observés au 2026-06-29 — suivie de Google Trust Services à 17,6%.

Les certificats gratuits sont-ils aussi sûrs que les payants ? Pour le TLS validé par domaine — le chiffrement et la confiance du navigateur — oui ; un certificat gratuit Let’s Encrypt et un certificat DV payant sont cryptographiquement équivalents. Les AC payantes se différencient sur la validation d’organisation, les garanties et le support, pas sur la solidité du chiffrement.

Est-il risqué que deux AC émettent la plupart des certificats ? Cela centralise la confiance et le risque opérationnel, mais les deux leaders sont bien gérés et l’automatisation a mesurablement amélioré l’hygiène des certificats sur tout le web. La préoccupation liée au risque systémique est réelle, mais elle a jusqu’ici été compensée par les gains de fiabilité.

L’AC de mon certificat influe-t-elle sur ma note de sécurité ? Non — la note examine si votre certificat est valide et de confiance, pas qui l’a émis. Un certificat gratuit et valide obtient la même note qu’un payant.

Vérifiez que votre certificat est valide et de confiance

L’émetteur n’a pas d’importance pour votre note — la validité, si. Vérifiez votre domaine gratuitement et en toute confidentialité.

Vérifiez votre domaine → · Le rapport d’erreurs de certificat → · Pourquoi mon site affiche-t-il « Non sécurisé » ? → · Données agrégées uniquement. Données stockées et traitées dans l’UE.