Defaults.Exposed › Report
Chi emette i certificati TLS del web? Due CA gratuite detengono ora il 75% (2026)
Pubblicato 2026-06-29
Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento: la CA emittente di ogni certificato che abbiamo osservato, unificati per famiglia (ad es. gli intermedi accorpati al loro genitore), su 197 milioni di certificati. Vedi come assegniamo i voti.
I certificati gratuiti e automatizzati hanno conquistato il web: due CA gratuite emettono ora il 74,7% di tutti i certificati TLS. Su 197 milioni di certificati, Let's Encrypt da sola rappresenta il 57,2% e Google Trust Services il 17,6%. Il mercato dei certificati a pagamento che ha definito i primi due decenni di HTTPS è stato soppiantato da certificati gratuiti emessi tramite API: un cambiamento silenzioso ma enorme su chi sostiene la crittografia del web.
La classifica delle autorità di certificazione
Quota dei certificati osservati per CA emittente, al 2026-06-29:
| Autorità di certificazione | Quota | Modello |
|---|---|---|
| Let's Encrypt | 57,2% | Gratuito, automatizzato |
| Google Trust Services | 17,6% | Gratuito, automatizzato |
| GoDaddy | 12,0% | Incluso da registrar/hosting |
| Sectigo | 4,2% | Commerciale |
| DigiCert | 2,0% | Commerciale |
Le prime due — entrambe gratuite — emettono insieme il 74,7%. Aggiungendo i certificati inclusi da registrar/hosting al terzo posto, una netta maggioranza del web crittografato si regge su certificati che nessuno ha pagato direttamente.
Perché è successo
Sono convergute due forze: Let’s Encrypt ha reso i certificati gratuiti e automatizzabili nel 2015, e il protocollo ACME ha consentito agli host di emetterli e rinnovarli automaticamente, senza intervento umano. Google, Cloudflare, Amazon e le grandi piattaforme di hosting hanno poi integrato l’emissione gratuita nei loro stack. Il risultato è che, per la maggior parte dei proprietari di siti, un certificato è ora un’impostazione predefinita invisibile — fornita e rinnovata automaticamente — anziché un acquisto annuale.
Cosa significa la concentrazione
- L’affidabilità è perlopiù un vantaggio. Il rinnovo automatico è proprio il motivo per cui scadono meno certificati rispetto all’era manuale — anche se il 8,57% dei certificati è ancora non valido, spesso dove l’automazione non è configurata.
- È anche concentrazione. Una quota molto ampia della fiducia del web passa ora attraverso un piccolo numero di emittenti; un’interruzione o un incidente di fiducia presso una CA di vertice ha una portata sproporzionata. È l’eco, a livello di certificato, della concentrazione dei name server che osserviamo nel DNS.
- I certificati autofirmati e predefiniti persistono ancora nella coda lunga — nomi di emittente come «Internet Widgits Pty Ltd» (il predefinito di OpenSSL) compaiono su centinaia di migliaia di domini, ciascuno dei quali genera un avviso del browser.
Domande frequenti
Qual è l’autorità di certificazione più utilizzata? Let's Encrypt, con il 57,2% di tutti i certificati osservati al 2026-06-29 — seguita da Google Trust Services con il 17,6%.
I certificati gratuiti sono sicuri quanto quelli a pagamento? Per il TLS con validazione del dominio — la crittografia e la fiducia del browser — sì; un certificato gratuito Let’s Encrypt e un certificato DV a pagamento sono crittograficamente equivalenti. Le CA a pagamento si differenziano sulla validazione dell’organizzazione, sulle garanzie e sul supporto, non sulla robustezza della crittografia.
È rischioso che due CA emettano la maggior parte dei certificati? Centralizza la fiducia e il rischio operativo, ma entrambe le leader sono ben gestite e l’automazione ha migliorato in modo misurabile l’igiene dei certificati su tutto il web. La preoccupazione per il rischio sistemico è reale, ma finora è stata superata dai guadagni in affidabilità.
La CA del mio certificato influisce sul mio voto di sicurezza? No — il voto verifica se il tuo certificato è valido e attendibile, non chi lo ha emesso. Un certificato gratuito e valido ottiene lo stesso punteggio di uno a pagamento.
Verifica che il tuo certificato sia valido e attendibile
L’emittente non conta per il tuo voto — conta la validità. Controlla il tuo dominio gratuitamente e in privato.
Controlla il tuo dominio → · Il report degli errori di certificato → · Perché il mio sito dice «Non sicuro»? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.