Defaults.Exposed › Rapporter
Vem utfärdar webbens TLS-certifikat? Två kostnadsfria CA:er äger nu 75 % (2026)
Publicerad 2026-06-29
Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata: den utfärdande CA:n för varje certifikat vi observerade, sammanslagna per familj (t.ex. mellanliggande certifikat infogade i sitt överordnade), över 197 miljoner certifikat. Se hur vi betygsätter.
Gratis, automatiserade certifikat har tagit över webben: två gratis CA:er utfärdar nu 74.7% av alla TLS-certifikat. Över 197 miljoner certifikat står Let's Encrypt ensamt för 57.2% och Google Trust Services för 17.6%. Marknaden för betalda certifikat som präglade HTTPS första två decennier har trängts undan av gratis, API-utfärdade certifikat — ett tyst men enormt skifte i vem som bär upp webbens kryptering.
Ligatabellen över certifikatutfärdare
Andel observerade certifikat per utfärdande CA, per 2026-06-29:
| Certifikatutfärdare | Andel | Modell |
|---|---|---|
| Let's Encrypt | 57.2% | Gratis, automatiserad |
| Google Trust Services | 17.6% | Gratis, automatiserad |
| GoDaddy | 12.0% | Buntad via registrar/webbhotell |
| Sectigo | 4.2% | Kommersiell |
| DigiCert | 2.0% | Kommersiell |
De två främsta — båda gratis — utfärdar tillsammans 74.7%. Lägg till de registrar/webbhotell-buntade certifikaten på tredje plats, så körs en tydlig majoritet av den krypterade webben på certifikat som ingen betalade för direkt.
Varför detta hände
Två krafter sammanstrålade: Let’s Encrypt gjorde certifikat gratis och skriptbara 2015, och ACME-protokollet lät värdar automatiskt utfärda och förnya dem utan en människa inblandad. Google, Cloudflare, Amazon och de stora värdplattformarna bakade sedan in gratis utfärdande i sina stackar. Resultatet är att ett certifikat för de flesta webbplatsägare nu är en osynlig standard — automatiskt tillhandahållet och förnyat — snarare än ett årligt köp.
Vad koncentrationen innebär
- Tillförlitlighet är till största delen en vinst. Automatisk förnyelse är just därför färre certifikat löper ut än under den manuella eran — även om 8.57% av certifikaten fortfarande är ogiltiga, ofta där automatisering inte är inkopplad.
- Det är också koncentration. En mycket stor andel av webbens förtroende flödar nu genom ett litet antal utfärdare; ett avbrott eller en förtroendehändelse hos en ledande CA får oproportionerligt stor räckvidd. Det är certifikatlagrets eko av den namnserverkoncentration vi ser i DNS.
- Självsignerade och standardcertifikat dröjer fortfarande kvar i den långa svansen — utfärdarnamn som ”Internet Widgits Pty Ltd” (OpenSSL-standarden) dyker upp på hundratusentals domäner, var och en av dem en webbläsarvarning.
Vanliga frågor
Vilken certifikatutfärdare används mest? Let's Encrypt, med 57.2% av alla observerade certifikat per 2026-06-29 — följt av Google Trust Services med 17.6%.
Är gratis certifikat lika säkra som betalda? För domänvaliderad TLS — krypteringen och webbläsarförtroendet — ja; ett gratis Let’s Encrypt-certifikat och ett betalt DV-certifikat är kryptografiskt likvärdiga. Betalda CA:er differentierar sig på organisationsvalidering, garantier och support, inte på krypteringens styrka.
Är det riskabelt att två CA:er utfärdar de flesta certifikaten? Det centraliserar förtroende och driftrisk, men båda ledarna är välskötta och automatiseringen har mätbart förbättrat certifikathygienen över hela webben. Oron för systemrisk är verklig men har hittills uppvägts av tillförlitlighetsvinsterna.
Påverkar mitt certifikats CA mitt säkerhetsbetyg? Nej — betyget tittar på om ditt certifikat är giltigt och betrott, inte vem som utfärdade det. Ett gratis, giltigt certifikat får samma poäng som ett betalt.
Kontrollera att ditt certifikat är giltigt och betrott
Utfärdaren spelar ingen roll för ditt betyg — giltigheten gör det. Kontrollera din domän gratis och privat.
Kontrollera din domän → · Rapporten om certifikatfel → · Varför säger min webbplats ”Inte säker”? → · Endast aggregerade data. Data lagras och bearbetas inom EU.