Defaults.Exposed

Defaults.Exposed › 报告

谁在签发 Web 的 TLS 证书?两家免费 CA 如今占据 75%(2026)

发布于 2026-06-29

数据截至 2026-06-29 · 方法论 v7。 汇总普查数据:我们观察到的每一张证书的签发 CA,按家族归并(例如中间证书归入其父级),涵盖 197 百万张证书。参见我们如何评分

免费、自动化的证书已占领网络:如今两家免费 CA 签发了全部 TLS 证书的 74.7%。 在 197 百万张证书中,仅 Let's Encrypt 一家就占 57.2%Google Trust Services 占 17.6%。定义了 HTTPS 头二十年的付费证书市场,已被免费、通过 API 签发的证书所取代——这是一场悄然却巨大的转变,关乎究竟由谁来支撑网络加密。

证书颁发机构排行榜

按签发 CA 划分的观测证书占比,截至 2026-06-29:

证书颁发机构占比模式
Let's Encrypt57.2%免费、自动化
Google Trust Services17.6%免费、自动化
GoDaddy12.0%注册商/主机商捆绑
Sectigo4.2%商业
DigiCert2.0%商业

排名前二者——均为免费——合计签发了 74.7%。再算上排名第三的注册商/主机商捆绑证书,加密网络的明显多数都运行在无人直接付费的证书之上。

为何会这样

两股力量交汇:Let’s Encrypt 在 2015 年让证书变得免费且可脚本化,而 ACME 协议让主机能够在无人参与的情况下自动签发和自动续期。随后,Google、Cloudflare、Amazon 以及各大托管平台将免费签发内置进自己的技术栈。结果是,对大多数站点所有者而言,证书如今成了一种看不见的默认设置——自动配置、自动续期——而非每年一次的采购。

这种集中意味着什么

常见问题

使用最多的证书颁发机构是哪一家? Let's Encrypt,截至 2026-06-29 占全部观测证书的 57.2%——其次是 Google Trust Services,占 17.6%。

免费证书和付费证书一样安全吗? 就域名验证型 TLS 而言——即加密和浏览器信任——是的;一张免费的 Let’s Encrypt 证书和一张付费的 DV 证书在密码学上是等价的。付费 CA 的差异在于组织验证、保证和支持,而非加密强度。

两家 CA 签发了大多数证书,这有风险吗? 它使信任和运营风险集中,但两家领先者都运营良好,且自动化已在全网范围内可衡量地改善了证书卫生状况。系统性风险的担忧是真实存在的,但迄今为止被可靠性收益所抵消。

我证书的 CA 会影响我的安全评分吗? 不会——评分看的是你的证书是否有效且受信任,而非由谁签发。一张免费的有效证书与付费证书得分相同。

检查你的证书是否有效且受信任

签发者对你的评分无关紧要——有效性才重要。免费、私密地检查你的域名。

检查你的域名 → · 证书错误报告 → · 为什么我的网站显示「不安全」? → · 仅汇总数据。数据在欧盟存储和处理。