Defaults.Exposed › Jelentések
Ki bocsátja ki a web TLS-tanúsítványait? Két ingyenes hitelesítésszolgáltatóé már a 75% (2026)
Közzétéve 2026-06-29
Az adatok 2026-06-29 szerintiek · módszertan v7. Összesített népszámlálási adatok: minden általunk megfigyelt tanúsítvány kibocsátó CA-ja, családonként összevonva (pl. a köztes tanúsítványok a szülőjükhöz rendelve), 197 millió tanúsítványon át. Lásd hogyan osztályozunk.
Az ingyenes, automatizált tanúsítványok átvették a hatalmat a weben: két ingyenes CA mostanra az összes TLS-tanúsítvány 74.7%-át bocsátja ki. 197 millió tanúsítványon át önmagában a Let's Encrypt 57.2%-ot, a Google Trust Services pedig 17.6%-ot tesz ki. A fizetős tanúsítványok piacát, amely a HTTPS első két évtizedét meghatározta, kiszorították az ingyenes, API-n keresztül kibocsátott tanúsítványok — csendes, de hatalmas eltolódás abban, hogy ki tartja fenn a web titkosítását.
A hitelesítésszolgáltatók ranglistája
A megfigyelt tanúsítványok aránya kibocsátó CA szerint, 2026-06-29 szerint:
| Hitelesítésszolgáltató | Részesedés | Modell |
|---|---|---|
| Let's Encrypt | 57.2% | Ingyenes, automatizált |
| Google Trust Services | 17.6% | Ingyenes, automatizált |
| GoDaddy | 12.0% | Regisztrátor/tárhely által csomagolt |
| Sectigo | 4.2% | Kereskedelmi |
| DigiCert | 2.0% | Kereskedelmi |
A két élen járó — mindkettő ingyenes — együtt 74.7%-ot bocsát ki. Hozzáadva a harmadik helyen álló, regisztrátor/tárhely által csomagolt tanúsítványokat, a titkosított web egyértelmű többsége olyan tanúsítványokon fut, amelyekért senki sem fizetett közvetlenül.
Miért történt ez
Két erő találkozott: a Let’s Encrypt 2015-ben ingyenessé és szkriptelhetővé tette a tanúsítványokat, az ACME protokoll pedig lehetővé tette, hogy a tárhelyek emberi beavatkozás nélkül, automatikusan bocsássák ki és újítsák meg azokat. A Google, a Cloudflare, az Amazon és a nagy tárhelyplatformok ezután beépítették az ingyenes kibocsátást a stackjeikbe. Az eredmény, hogy a legtöbb webhelytulajdonos számára a tanúsítvány ma már láthatatlan alapértelmezés — automatikusan kiosztva és megújítva — egy éves vásárlás helyett.
Mit jelent a koncentráció
- A megbízhatóság javarészt nyereség. Az automatikus megújítás pontosan az oka annak, hogy kevesebb tanúsítvány jár le, mint a kézi korszakban — bár a tanúsítványok 8.57%-a továbbra is érvénytelen, gyakran ott, ahol az automatizálás nincs bekötve.
- De koncentráció is. A web bizalmának nagyon nagy hányada ma már kevés számú kibocsátón folyik át; egy vezető CA-nál bekövetkező leállás vagy bizalmi esemény aránytalanul nagy kiterjedésű. Ez a névszerver-koncentráció visszhangja a tanúsítványrétegben, amelyet a DNS-ben látunk.
- Az önaláírt és alapértelmezett tanúsítványok továbbra is ott lappanganak a hosszú farokban — az olyan kibocsátónevek, mint az „Internet Widgits Pty Ltd” (az OpenSSL alapértelmezése) több százezer domainen jelennek meg, és mindegyikük egy-egy böngészőfigyelmeztetés.
Gyakran ismételt kérdések
Melyik hitelesítésszolgáltató a leghasználtabb? A Let's Encrypt, az összes megfigyelt tanúsítvány 57.2%-ával 2026-06-29 szerint — őt követi a Google Trust Services 17.6%-kal.
Az ingyenes tanúsítványok ugyanolyan biztonságosak, mint a fizetősek? A doménhitelesített TLS esetében — a titkosítás és a böngészőbizalom — igen; egy ingyenes Let’s Encrypt-tanúsítvány és egy fizetős DV-tanúsítvány kriptográfiailag egyenértékű. A fizetős CA-k a szervezethitelesítésben, a garanciákban és a támogatásban különböznek, nem a titkosítás erősségében.
Kockázatos, hogy két CA bocsátja ki a tanúsítványok többségét? Központosítja a bizalmat és a működési kockázatot, de mindkét vezető jól működtetett, és az automatizálás mérhetően javította a tanúsítványhigiéniát az egész weben. A rendszerszintű kockázattal kapcsolatos aggodalom valós, de eddig felülmúlták a megbízhatósági nyereségek.
Befolyásolja a tanúsítványom CA-ja a biztonsági osztályzatomat? Nem — az osztályzat azt nézi, hogy a tanúsítványod érvényes és megbízható-e, nem azt, hogy ki bocsátotta ki. Egy ingyenes, érvényes tanúsítvány ugyanannyi pontot kap, mint egy fizetős.
Ellenőrizd, hogy a tanúsítványod érvényes és megbízható-e
A kibocsátó nem számít az osztályzatod szempontjából — az érvényesség igen. Ellenőrizd a domained ingyen és bizalmasan.
Ellenőrizd a domained → · A tanúsítványhiba-jelentés → · Miért írja a webhelyem, hogy „Nem biztonságos”? → · Csak összesített adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.