Defaults.Exposed › 報告
誰在簽發 Web 的 TLS 證書?兩家免費 CA 如今佔據 75%(2026)
發布於 2026-06-29
數據截至 2026-06-29 · 方法論 v7。 彙總普查數據:我們觀察到的每一張證書的簽發 CA,按家族歸併(例如中間證書歸入其父級),涵蓋 197 百萬張證書。參見我們如何評分。
免費、自動化的證書已佔領網絡:如今兩家免費 CA 簽發了全部 TLS 證書的 74.7%。 在 197 百萬張證書中,僅 Let's Encrypt 一家就佔 57.2%,Google Trust Services 佔 17.6%。定義了 HTTPS 頭二十年的付費證書市場,已被免費、通過 API 簽發的證書所取代——這是一場悄然卻巨大的轉變,關乎究竟由誰來支撐網絡加密。
證書頒發機構排行榜
按簽發 CA 劃分的觀測證書佔比,截至 2026-06-29:
| 證書頒發機構 | 佔比 | 模式 |
|---|---|---|
| Let's Encrypt | 57.2% | 免費、自動化 |
| Google Trust Services | 17.6% | 免費、自動化 |
| GoDaddy | 12.0% | 註冊商/主機商捆綁 |
| Sectigo | 4.2% | 商業 |
| DigiCert | 2.0% | 商業 |
排名前二者——均為免費——合計簽發了 74.7%。再算上排名第三的註冊商/主機商捆綁證書,加密網絡的明顯多數都運行在無人直接付費的證書之上。
為何會這樣
兩股力量交匯:Let’s Encrypt 在 2015 年讓證書變得免費且可腳本化,而 ACME 協議讓主機能夠在無人參與的情況下自動簽發和自動續期。隨後,Google、Cloudflare、Amazon 以及各大託管平臺將免費簽發內置進自己的技術棧。結果是,對大多數站點所有者而言,證書如今成了一種看不見的默認設置——自動配置、自動續期——而非每年一次的採購。
這種集中意味著什麼
- 可靠性總體上是好事。 自動續期正是為何如今過期的證書比手動時代更少的原因——儘管仍有 8.57% 的證書無效,往往出現在自動化尚未接入之處。
- 但這也是集中。 網絡信任中很大一部分如今流經少數幾家簽發機構;某家頂級 CA 一旦出現宕機或信任事件,影響範圍將極為巨大。這是我們在 DNS 中所見的域名服務器集中在證書層面的迴響。
- 自簽名證書和默認證書仍在長尾中殘存——諸如「Internet Widgits Pty Ltd」(OpenSSL 的默認值)這樣的簽發者名稱出現在數十萬個域名上,每一個都會觸發瀏覽器警告。
常見問題
使用最多的證書頒發機構是哪一家? Let's Encrypt,截至 2026-06-29 佔全部觀測證書的 57.2%——其次是 Google Trust Services,佔 17.6%。
免費證書和付費證書一樣安全嗎? 就域名驗證型 TLS 而言——即加密和瀏覽器信任——是的;一張免費的 Let’s Encrypt 證書和一張付費的 DV 證書在密碼學上是等價的。付費 CA 的差異在於組織驗證、保證和支持,而非加密強度。
兩家 CA 簽發了大多數證書,這有風險嗎? 它使信任和運營風險集中,但兩家領先者都運營良好,且自動化已在全網範圍內可衡量地改善了證書衛生狀況。系統性風險的擔憂是真實存在的,但迄今為止被可靠性收益所抵消。
我證書的 CA 會影響我的安全評分嗎? 不會——評分看的是你的證書是否有效且受信任,而非由誰簽發。一張免費的有效證書與付費證書得分相同。
檢查你的證書是否有效且受信任
簽發者對你的評分無關緊要——有效性才重要。免費、私密地檢查你的域名。
檢查你的域名 → · 證書錯誤報告 → · 為什麼我的網站顯示「不安全」? → · 僅彙總數據。數據在歐盟存儲和處理。