Defaults.Exposed › Laporan
Siapa yang Menerbitkan Sertifikat TLS di Web? Dua CA Gratis Kini Menguasai 75% (2026)
Diterbitkan 2026-06-29
Angka per 2026-06-29 · metodologi v7. Data sensus agregat: CA penerbit dari setiap sertifikat yang kami amati, digabungkan per keluarga (mis. sertifikat antara dilipat ke induknya), di seluruh 197 juta sertifikat. Lihat bagaimana kami menilai.
Sertifikat gratis dan otomatis telah menguasai web: dua CA gratis kini menerbitkan 74.7% dari semua sertifikat TLS. Di seluruh 197 juta sertifikat, Let's Encrypt sendiri menyumbang 57.2% dan Google Trust Services 17.6%. Pasar sertifikat berbayar yang mendefinisikan dua dekade pertama HTTPS telah tergusur oleh sertifikat gratis yang diterbitkan melalui API — pergeseran yang senyap namun sangat besar dalam soal siapa yang menopang enkripsi web.
Tabel klasemen otoritas sertifikat
Pangsa sertifikat yang diamati berdasarkan CA penerbit, per 2026-06-29:
| Otoritas sertifikat | Pangsa | Model |
|---|---|---|
| Let's Encrypt | 57.2% | Gratis, otomatis |
| Google Trust Services | 17.6% | Gratis, otomatis |
| GoDaddy | 12.0% | Terpaket dari registrar/hosting |
| Sectigo | 4.2% | Komersial |
| DigiCert | 2.0% | Komersial |
Dua teratas — keduanya gratis — menerbitkan 74.7% di antara mereka. Tambahkan sertifikat terpaket registrar/hosting di posisi ketiga, dan mayoritas jelas dari web terenkripsi berjalan pada sertifikat yang tidak dibayar langsung oleh siapa pun.
Mengapa ini terjadi
Dua kekuatan bertemu: Let’s Encrypt menjadikan sertifikat gratis dan dapat diskripkan pada 2015, dan protokol ACME memungkinkan host menerbitkan serta memperbaruinya secara otomatis tanpa campur tangan manusia. Google, Cloudflare, Amazon, dan platform hosting besar kemudian menanamkan penerbitan gratis ke dalam tumpukan teknologi mereka. Hasilnya, bagi sebagian besar pemilik situs, sertifikat kini menjadi default tak kasatmata — disediakan dan diperbarui secara otomatis — alih-alih pembelian tahunan.
Apa arti konsentrasi ini
- Keandalan sebagian besar merupakan keuntungan. Pembaruan otomatis adalah persis alasan mengapa lebih sedikit sertifikat yang kedaluwarsa dibandingkan era manual — meski 8.57% sertifikat masih tidak valid, sering kali di tempat otomatisasi belum terpasang.
- Ini juga konsentrasi. Bagian yang sangat besar dari kepercayaan web kini mengalir melalui sejumlah kecil penerbit; gangguan atau insiden kepercayaan pada CA teratas memiliki jangkauan yang luar biasa besar. Ini adalah gema di lapisan sertifikat dari konsentrasi server nama yang kita lihat di DNS.
- Sertifikat yang ditandatangani sendiri dan default masih bertahan di ekor panjang — nama penerbit seperti “Internet Widgits Pty Ltd” (default OpenSSL) muncul di ratusan ribu domain, dan setiap satunya adalah peringatan peramban.
Pertanyaan yang sering diajukan
Otoritas sertifikat mana yang paling banyak digunakan? Let's Encrypt, dengan 57.2% dari semua sertifikat yang diamati per 2026-06-29 — diikuti oleh Google Trust Services dengan 17.6%.
Apakah sertifikat gratis seaman yang berbayar? Untuk TLS yang divalidasi domain — enkripsi dan kepercayaan peramban — ya; sertifikat Let’s Encrypt gratis dan sertifikat DV berbayar setara secara kriptografis. CA berbayar membedakan diri pada validasi organisasi, jaminan, dan dukungan, bukan pada kekuatan enkripsi.
Apakah berisiko bahwa dua CA menerbitkan sebagian besar sertifikat? Hal itu memusatkan kepercayaan dan risiko operasional, tetapi kedua pemimpin pasar dikelola dengan baik dan otomatisasi telah memperbaiki kebersihan sertifikat di seluruh web secara terukur. Kekhawatiran risiko sistemik itu nyata, tetapi sejauh ini diimbangi oleh keuntungan keandalan.
Apakah CA sertifikat saya memengaruhi nilai keamanan saya? Tidak — nilai melihat apakah sertifikat Anda valid dan tepercaya, bukan siapa yang menerbitkannya. Sertifikat gratis yang valid mendapat skor sama dengan yang berbayar.
Periksa apakah sertifikat Anda valid dan tepercaya
Penerbit tidak penting bagi nilai Anda — validitaslah yang penting. Periksa domain Anda secara gratis dan privat.
Periksa domain Anda → · Laporan kesalahan sertifikat → · Mengapa situs saya menampilkan “Tidak Aman”? → · Hanya data agregat. Data disimpan dan diproses di UE.