TL;DR : 没关系。

这里唯一的安全“风险”实际上是 CA “太大而不能失败”，浏览器无法快速不信任 CA。但这发生在所有大型 CA 身上，而不仅仅是最大的 CA。

除此之外，唯一的问题可能是 CA 是一个更诱人的目标，尽管所有 CA 已经非常诱人。在这种情况下，将所有鸡蛋放在一个篮子里有其优点和缺点。优点是你只需要保护一个篮子，缺点是如果那个篮子坏了，影响会更大一些（假设使用了CAA和HPKP之类的技术，否则不管CA有多大）。

为了打破对另一个答案的评论的讨论：单个 CA 占主导地位的一个问题是，如果存在需要替换它的问题（例如浏览器停止信任它，或者它崩溃了），则需要在某个地方每个人都迁移到。任何 CA 都是如此，但如果客户分布在许多不同的提供商中，则需要迁移的人数会更少，并且随着人们四处寻找最优惠的价格，更换提供商将更为常见。

在极端情况下，崩溃的垄断将需要建立一个全新的 CA，或者至少需要一个很小的 ​​CA 才能迅速扩大规模。如果可以信任现有证书，但在某个日期之后没有颁发证书，则时间尺度将取决于证书颁发的时间长短。

如果 CA 颁发短证书并依赖自动续订系统，那么要么用户需要更换他们的自动化基础设施，要么新 CA 需要提供兼容的服务。如果旧 CA 提供的服务基于开放标准或开源代码（就像 Let's Encrypt 的情况一样），这会稍微容易一些，因为新 CA 不需要对其进行逆向工程来接受它超过; 同样，在某些情况下，旧 CA 可能愿意在过渡中进行合作。当然，如果新的 CA 还没有实现相同的协议，那么仍然需要付出努力。