Defaults.Exposed › Rapporten
Wie geeft de TLS-certificaten van het web uit? Twee gratis CA's bezitten nu 75% (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens: de uitgevende CA van elk certificaat dat we waarnamen, per familie samengevoegd (bijv. tussencertificaten ondergebracht bij hun ouder), over 197 miljoen certificaten. Zie hoe we beoordelen.
Gratis, geautomatiseerde certificaten hebben het web overgenomen: twee gratis CA’s geven inmiddels 74,7% van alle TLS-certificaten uit. Over 197 miljoen certificaten is Let's Encrypt alleen al goed voor 57,2% en Google Trust Services voor 17,6%. De markt voor betaalde certificaten die de eerste twee decennia van HTTPS bepaalde, is verdrongen door gratis, via API uitgegeven certificaten — een stille maar enorme verschuiving in wie de webversleuteling draagt.
De ranglijst van certificaatautoriteiten
Aandeel van waargenomen certificaten per uitgevende CA, per 2026-06-29:
| Certificaatautoriteit | Aandeel | Model |
|---|---|---|
| Let's Encrypt | 57,2% | Gratis, geautomatiseerd |
| Google Trust Services | 17,6% | Gratis, geautomatiseerd |
| GoDaddy | 12,0% | Via registrar/host gebundeld |
| Sectigo | 4,2% | Commercieel |
| DigiCert | 2,0% | Commercieel |
De top twee — beide gratis — geven samen 74,7% uit. Tel daar de via registrar/host gebundelde certificaten op de derde plaats bij op, en een duidelijke meerderheid van het versleutelde web draait op certificaten waar niemand rechtstreeks voor heeft betaald.
Waarom dit gebeurde
Twee krachten kwamen samen: Let’s Encrypt maakte certificaten in 2015 gratis en scriptbaar, en het ACME-protocol liet hosts ze automatisch uitgeven en verlengen zonder dat er een mens aan te pas kwam. Google, Cloudflare, Amazon en de grote hostingplatforms bakten gratis uitgifte vervolgens in hun stacks. Het gevolg is dat een certificaat voor de meeste site-eigenaren nu een onzichtbare standaard is — automatisch ingericht en verlengd — in plaats van een jaarlijkse aankoop.
Wat de concentratie betekent
- Betrouwbaarheid is grotendeels winst. Automatische verlenging is precies waarom er minder certificaten verlopen dan in het handmatige tijdperk — al is 8,57% van de certificaten nog steeds ongeldig, vaak waar automatisering niet is ingesteld.
- Het is ook concentratie. Een zeer groot deel van het vertrouwen op het web stroomt nu via een klein aantal uitgevers; een storing of vertrouwensincident bij een toonaangevende CA heeft een buitenproportioneel bereik. Het is de echo op certificaatniveau van de nameserverconcentratie die we in DNS zien.
- Zelfondertekende en standaardcertificaten blijven hangen in de lange staart — uitgevernamen als “Internet Widgits Pty Ltd” (de OpenSSL-standaard) duiken op bij honderdduizenden domeinen, en elk daarvan levert een browserwaarschuwing op.
Veelgestelde vragen
Welke certificaatautoriteit wordt het meest gebruikt? Let's Encrypt, met 57,2% van alle waargenomen certificaten per 2026-06-29 — gevolgd door Google Trust Services met 17,6%.
Zijn gratis certificaten net zo veilig als betaalde? Voor domeingevalideerde TLS — de versleuteling en het browservertrouwen — ja; een gratis Let’s Encrypt-certificaat en een betaald DV-certificaat zijn cryptografisch gelijkwaardig. Betaalde CA’s onderscheiden zich op organisatievalidatie, garanties en ondersteuning, niet op de sterkte van de versleuteling.
Is het riskant dat twee CA’s de meeste certificaten uitgeven? Het centraliseert vertrouwen en operationeel risico, maar beide koplopers worden goed beheerd en de automatisering heeft de certificaathygiëne op het hele web meetbaar verbeterd. De zorg over systeemrisico is reëel, maar werd tot nu toe overtroffen door de winst aan betrouwbaarheid.
Beïnvloedt de CA van mijn certificaat mijn beveiligingsbeoordeling? Nee — de beoordeling kijkt of je certificaat geldig en vertrouwd is, niet wie het heeft uitgegeven. Een gratis, geldig certificaat scoort hetzelfde als een betaald.
Controleer of je certificaat geldig en vertrouwd is
De uitgever doet er niet toe voor je beoordeling — de geldigheid wel. Controleer je domein gratis en privé.
Controleer je domein → · Het certificaatfoutrapport → · Waarom zegt mijn site “Niet beveiligd”? → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.