Certificate path validation

서명은 아래로 내려오고, 검증은 신뢰 저장소까지 올라간다

서버가 leaf와 intermediate를 보내면, 클라이언트는 로컬 trust anchor와 이어지는지 확인한다.

신뢰 앵커 발급 경로 운영 격리

Trust store Root CA OS/브라우저가 신뢰 앵커로 보관한다. 서버가 매번 보내는 인증서가 아니다.

→

CA delegation Intermediate CA 루트가 서명해 발급 권한을 위임한다. 실제 서버 인증서 발급을 주로 맡는다.

→

Server identity Leaf certificate example.com 같은 서비스 이름과 서버 공개키를 담는다.

Leaf 서명 확인

Intermediate 공개키로 서버 인증서 서명을 검증한다.

Root 공개키로 중간 CA 인증서 서명을 검증한다.

도달한 Root가 로컬 신뢰 저장소에 있는지 본다.

이름, 기간, 용도, 폐기 상태, 경로 제약을 함께 본다.

루트 키를 자주 쓰지 않는 이유

루트 개인키는 오프라인에 가깝게 보호하고, 중간 CA가 실제 발급을 맡으면 사고가 났을 때 폐기 범위를 줄일 수 있다.