Defaults.Exposed › 报告
谁在签发 Web 的 TLS 证书?两家免费 CA 如今占据 75%(2026)
发布于 2026-06-29
数据截至 2026-06-29 · 方法论 v7。 汇总普查数据:我们观察到的每一张证书的签发 CA,按家族归并(例如中间证书归入其父级),涵盖 197 百万张证书。参见我们如何评分。
免费、自动化的证书已占领网络:如今两家免费 CA 签发了全部 TLS 证书的 74.7%。 在 197 百万张证书中,仅 Let's Encrypt 一家就占 57.2%,Google Trust Services 占 17.6%。定义了 HTTPS 头二十年的付费证书市场,已被免费、通过 API 签发的证书所取代——这是一场悄然却巨大的转变,关乎究竟由谁来支撑网络加密。
证书颁发机构排行榜
按签发 CA 划分的观测证书占比,截至 2026-06-29:
| 证书颁发机构 | 占比 | 模式 |
|---|---|---|
| Let's Encrypt | 57.2% | 免费、自动化 |
| Google Trust Services | 17.6% | 免费、自动化 |
| GoDaddy | 12.0% | 注册商/主机商捆绑 |
| Sectigo | 4.2% | 商业 |
| DigiCert | 2.0% | 商业 |
排名前二者——均为免费——合计签发了 74.7%。再算上排名第三的注册商/主机商捆绑证书,加密网络的明显多数都运行在无人直接付费的证书之上。
为何会这样
两股力量交汇:Let’s Encrypt 在 2015 年让证书变得免费且可脚本化,而 ACME 协议让主机能够在无人参与的情况下自动签发和自动续期。随后,Google、Cloudflare、Amazon 以及各大托管平台将免费签发内置进自己的技术栈。结果是,对大多数站点所有者而言,证书如今成了一种看不见的默认设置——自动配置、自动续期——而非每年一次的采购。
这种集中意味着什么
- 可靠性总体上是好事。 自动续期正是为何如今过期的证书比手动时代更少的原因——尽管仍有 8.57% 的证书无效,往往出现在自动化尚未接入之处。
- 但这也是集中。 网络信任中很大一部分如今流经少数几家签发机构;某家顶级 CA 一旦出现宕机或信任事件,影响范围将极为巨大。这是我们在 DNS 中所见的域名服务器集中在证书层面的回响。
- 自签名证书和默认证书仍在长尾中残存——诸如「Internet Widgits Pty Ltd」(OpenSSL 的默认值)这样的签发者名称出现在数十万个域名上,每一个都会触发浏览器警告。
常见问题
使用最多的证书颁发机构是哪一家? Let's Encrypt,截至 2026-06-29 占全部观测证书的 57.2%——其次是 Google Trust Services,占 17.6%。
免费证书和付费证书一样安全吗? 就域名验证型 TLS 而言——即加密和浏览器信任——是的;一张免费的 Let’s Encrypt 证书和一张付费的 DV 证书在密码学上是等价的。付费 CA 的差异在于组织验证、保证和支持,而非加密强度。
两家 CA 签发了大多数证书,这有风险吗? 它使信任和运营风险集中,但两家领先者都运营良好,且自动化已在全网范围内可衡量地改善了证书卫生状况。系统性风险的担忧是真实存在的,但迄今为止被可靠性收益所抵消。
我证书的 CA 会影响我的安全评分吗? 不会——评分看的是你的证书是否有效且受信任,而非由谁签发。一张免费的有效证书与付费证书得分相同。
检查你的证书是否有效且受信任
签发者对你的评分无关紧要——有效性才重要。免费、私密地检查你的域名。
检查你的域名 → · 证书错误报告 → · 为什么我的网站显示「不安全」? → · 仅汇总数据。数据在欧盟存储和处理。