Defaults.Exposed › Отчёты
Кто выпускает TLS-сертификаты в вебе? Два бесплатных УЦ теперь владеют 75% (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи: выпускающий CA каждого наблюдаемого нами сертификата, объединённые по семействам (например, промежуточные сертификаты отнесены к их корневым), по 197 миллионам сертификатов. См. как мы выставляем оценки.
Бесплатные автоматизированные сертификаты захватили веб: два бесплатных CA теперь выпускают 74,7% всех TLS-сертификатов. Из 197 миллионов сертификатов на один только Let's Encrypt приходится 57,2% и на Google Trust Services — 17,6%. Рынок платных сертификатов, определявший первые два десятилетия HTTPS, вытеснен бесплатными сертификатами, выпускаемыми через API, — тихий, но огромный сдвиг в том, кто обеспечивает шифрование веба.
Турнирная таблица удостоверяющих центров
Доля наблюдаемых сертификатов по выпускающему CA, по состоянию на 2026-06-29:
| Удостоверяющий центр | Доля | Модель |
|---|---|---|
| Let's Encrypt | 57,2% | Бесплатно, автоматизировано |
| Google Trust Services | 17,6% | Бесплатно, автоматизировано |
| GoDaddy | 12,0% | В комплекте от регистратора/хостинга |
| Sectigo | 4,2% | Коммерческий |
| DigiCert | 2,0% | Коммерческий |
Два лидера — оба бесплатные — вместе выпускают 74,7%. Прибавьте сертификаты от регистратора/хостинга на третьем месте, и явное большинство шифрованного веба работает на сертификатах, за которые никто не платил напрямую.
Почему так произошло
Сошлись две силы: Let’s Encrypt сделал сертификаты бесплатными и пригодными для автоматизации в 2015 году, а протокол ACME позволил серверам автоматически выпускать и продлевать их без участия человека. Затем Google, Cloudflare, Amazon и крупные хостинг-платформы встроили бесплатный выпуск в свои стеки. В результате для большинства владельцев сайтов сертификат теперь стал невидимым значением по умолчанию — выдаётся и продлевается автоматически — вместо ежегодной покупки.
Что означает концентрация
- Надёжность — в основном плюс. Автоматическое продление — именно та причина, по которой просрочивается меньше сертификатов, чем в эпоху ручного управления, хотя 8,57% сертификатов по-прежнему недействительны, часто там, где автоматизация не настроена.
- Но это также концентрация. Очень большая доля доверия в вебе теперь проходит через небольшое число эмитентов; сбой или инцидент с доверием у одного из ведущих CA имеет несоразмерный охват. Это эхо на уровне сертификатов той концентрации серверов имён, которую мы наблюдаем в DNS.
- Самоподписанные и стандартные сертификаты по-прежнему сохраняются в длинном хвосте — имена эмитентов вроде «Internet Widgits Pty Ltd» (значение OpenSSL по умолчанию) встречаются на сотнях тысяч доменов, и каждый из них вызывает предупреждение браузера.
Часто задаваемые вопросы
Какой удостоверяющий центр используется чаще всего? Let's Encrypt, с 57,2% всех наблюдаемых сертификатов по состоянию на 2026-06-29 — за ним следует Google Trust Services с 17,6%.
Так же ли безопасны бесплатные сертификаты, как платные? Для TLS с проверкой домена — шифрование и доверие браузера — да; бесплатный сертификат Let’s Encrypt и платный DV-сертификат криптографически эквивалентны. Платные CA отличаются проверкой организации, гарантиями и поддержкой, а не стойкостью шифрования.
Рискованно ли, что два CA выпускают большинство сертификатов? Это централизует доверие и операционный риск, но оба лидера хорошо управляются, и автоматизация заметно улучшила гигиену сертификатов по всему вебу. Опасения по поводу системного риска реальны, но пока перевешиваются выигрышем в надёжности.
Влияет ли CA моего сертификата на мою оценку безопасности? Нет — оценка смотрит, действителен ли ваш сертификат и пользуется ли он доверием, а не кто его выпустил. Бесплатный действительный сертификат получает ту же оценку, что и платный.
Проверьте, что ваш сертификат действителен и заслуживает доверия
Эмитент не важен для вашей оценки — важна действительность. Проверьте свой домен бесплатно и конфиденциально.
Проверьте свой домен → · Отчёт об ошибках сертификата → · Почему мой сайт пишет «Не защищено»? → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.