Defaults.Exposed › Relatórios
Quem Emite os Certificados TLS da Web? Duas AC Gratuitas Detêm Agora 75% (2026)
Publicado 2026-06-29
Dados de 2026-06-29 · metodologia v7. Dados agregados do censo: a CA emissora de cada certificado que observámos, agrupados por família (por exemplo, intermediários integrados na sua matriz), num total de 197 milhões de certificados. Consulte como avaliamos.
Os certificados gratuitos e automatizados tomaram conta da web: duas CAs gratuitas emitem agora 74,7% de todos os certificados TLS. Em 197 milhões de certificados, só a Let's Encrypt representa 57,2% e a Google Trust Services 17,6%. O mercado de certificados pagos que definiu as duas primeiras décadas do HTTPS foi substituído por certificados gratuitos emitidos via API — uma mudança silenciosa, mas enorme, em quem sustenta a encriptação da web.
A tabela classificativa das autoridades de certificação
Quota de certificados observados por CA emissora, em 2026-06-29:
| Autoridade de certificação | Quota | Modelo |
|---|---|---|
| Let's Encrypt | 57,2% | Gratuito, automatizado |
| Google Trust Services | 17,6% | Gratuito, automatizado |
| GoDaddy | 12,0% | Incluído por registrador/alojamento |
| Sectigo | 4,2% | Comercial |
| DigiCert | 2,0% | Comercial |
As duas primeiras — ambas gratuitas — emitem em conjunto 74,7%. Somando os certificados incluídos por registrador/alojamento no terceiro lugar, uma clara maioria da web encriptada assenta em certificados que ninguém pagou diretamente.
Por que isto aconteceu
Duas forças convergiram: a Let’s Encrypt tornou os certificados gratuitos e programáveis em 2015, e o protocolo ACME permitiu aos servidores emiti-los e renová-los automaticamente, sem intervenção humana. A Google, a Cloudflare, a Amazon e as grandes plataformas de alojamento integraram então a emissão gratuita nas suas stacks. O resultado é que, para a maioria dos proprietários de sites, um certificado é hoje uma predefinição invisível — provisionada e renovada automaticamente — em vez de uma compra anual.
O que significa a concentração
- A fiabilidade é, na maior parte, um ganho. A renovação automática é precisamente a razão pela qual menos certificados expiram do que na era manual — embora 8,57% dos certificados continuem inválidos, muitas vezes onde a automação não está configurada.
- É também concentração. Uma fatia muito grande da confiança da web flui agora através de um número reduzido de emissores; uma falha ou um incidente de confiança numa CA de topo tem um alcance desmesurado. É o eco, na camada dos certificados, da concentração de servidores de nomes que vemos no DNS.
- Os certificados autoassinados e predefinidos continuam a persistir na cauda longa — nomes de emissor como «Internet Widgits Pty Ltd» (a predefinição do OpenSSL) aparecem em centenas de milhares de domínios, cada um deles um aviso do navegador.
Perguntas frequentes
Qual é a autoridade de certificação mais utilizada? A Let's Encrypt, com 57,2% de todos os certificados observados em 2026-06-29 — seguida da Google Trust Services com 17,6%.
Os certificados gratuitos são tão seguros como os pagos? Para TLS validado por domínio — a encriptação e a confiança do navegador — sim; um certificado gratuito Let’s Encrypt e um certificado DV pago são criptograficamente equivalentes. As CAs pagas diferenciam-se na validação da organização, nas garantias e no suporte, não na força da encriptação.
É arriscado que duas CAs emitam a maioria dos certificados? Centraliza a confiança e o risco operacional, mas ambas as líderes são bem geridas e a automação melhorou de forma mensurável a higiene dos certificados em toda a web. A preocupação com o risco sistémico é real, mas até agora foi superada pelos ganhos de fiabilidade.
A CA do meu certificado afeta a minha classificação de segurança? Não — a classificação analisa se o seu certificado é válido e fiável, não quem o emitiu. Um certificado gratuito e válido obtém a mesma pontuação que um pago.
Verifique se o seu certificado é válido e fiável
O emissor não importa para a sua classificação — a validade importa. Verifique o seu domínio de forma gratuita e privada.
Verifique o seu domínio → · O relatório de erros de certificado → · Porque é que o meu site diz «Não seguro»? → · Apenas dados agregados. Dados armazenados e processados na UE.