CA 체계는 쉽게 말하면:

인터넷 전체가 서로의 공개키를 믿기 위해 만든
"신뢰의 계층 구조"

다.

즉:

"이 공개키 진짜 맞다"

를 누가 보증해주는 시스템.

핵심 구조 먼저

CA 체계는 보통 이렇게 생긴다.

Root CA
 ↓
Intermediate CA
 ↓
Server Certificate

이걸:

PKI(Public Key Infrastructure)
Trust Chain

이라고 부른다.

왜 이런 체계가 필요할까?

인터넷에서 서버가:

"안녕하세요 제 공개키입니다"

라고 말해도,

브라우저 입장에서는:

"그걸 왜 믿지?"

문제가 생긴다.

그래서 등장한 게 CA

CA(Certificate authority):

"내가 확인했는데
이 공개키 진짜 맞음"

이라고 보증하는 기관.

그런데 또 문제

그럼:

"그 CA는 누가 믿지?"

여기서 Root CA 등장

브라우저/OS 안에는:

미리 신뢰하는 Root CA 목록

이 들어있다.

즉:

"이 기관들은 믿겠다"

를 브라우저 제조사가 미리 결정해둔 것.

실제 Root CA 예시

Let's Encrypt
DigiCert
GlobalSign
Sectigo

등.

브라우저가 실제로 믿는 건?

중요한 포인트.

브라우저가 직접 믿는 건:

Root CA 공개키

다.

즉 신뢰 시작점

브라우저/OS
↓ 신뢰
Root CA

그런데 왜 Intermediate CA를 쓰나?

여기 엄청 중요하다.

Root CA는 너무 중요함

만약 Root CA 개인키 털리면:

인터넷 전체 신뢰 붕괴

가능.

그래서 Root CA는 보통

거의 오프라인 보관

한다.

심지어:

HSM(Hardware Security Module)
금고
물리 접근 통제

사용.

실제 인증서 발급은 Intermediate CA 담당

구조:

Root CA
↓ 서명
Intermediate CA
↓ 서명
서버 인증서

서버 인증서란?

예:

naver.com 공개키

가 들어있는 인증서.

브라우저 검증 흐름

예를 들어:

https://naver.com

접속.

서버가 보내는 것

1. 서버 인증서
2. Intermediate 인증서

브라우저는 검증

1

서버 인증서를 Intermediate 공개키로 검증.

2

Intermediate 인증서를 Root 공개키로 검증.

3

Root가 브라우저 신뢰목록에 있으면 성공.

즉 체인 구조

Server Cert
→ Intermediate CA
→ Root CA
→ Browser Trust Store

이것이 Chain of Trust

Chain of trust

Self-Signed 인증서는?

자기 자신이 자기 서명.

즉:

"내가 나를 믿는다"

구조.

브라우저는 기본 불신

그래서:

"안전하지 않은 연결"

경고.

실제 검증 항목

브라우저는:

검사	의미
CA 신뢰 여부	믿을 기관인가
도메인 일치	naver.com 맞나
유효기간	만료 여부
폐기 여부	취소됐는가

확인.

인증서 폐기(CRL/OCSP)

만약 인증서 유출되면:

폐기(revoke)

한다.

브라우저는:

CRL
OCSP

로 확인 가능.

왜 Let's Encrypt가 혁신적이었나?

예전엔 인증서 발급이:

비싸고
수동 작업 많음

이었다.

Let's Encrypt 는:

무료 + 자동화

를 대중화했다.

현재 HTTPS 확산의 핵심 중 하나.

실무에서 중요한 포인트

1. Root CA 신뢰가 인터넷 신뢰 기반

즉:

브라우저가 Root를 믿기 때문에
사이트를 믿는 구조

2. Intermediate 분리 매우 중요

Root 노출 위험 감소.

3. 인증서 만료 관리 필수

실무 장애 엄청 많음.

전체 구조 한 번에

브라우저
 ↓ 신뢰
Root CA
 ↓ 서명
Intermediate CA
 ↓ 서명
서버 인증서
 ↓ 포함
서버 공개키

핵심 한 줄

CA 체계는:

브라우저가 미리 신뢰하는 Root CA를 기준으로,
전자서명을 따라 내려가며
서버 공개키의 진위를 검증하는 계층형 신뢰 구조

다.

저작자표시 (새창열림)

'system_fundamentals > security_cryptography' 카테고리의 다른 글

Forward Secrecy (0)	2026.05.15
Self-signed 문제 (0)	2026.05.15
인증서는 누가 믿는가 (1)	2026.05.15
TLS Handshake 전체 흐름 (0)	2026.05.15
HTTPS는 어떻게 안전한가 (0)	2026.05.15

로그의 죄니

CA 체계

핵심 구조 먼저

왜 이런 체계가 필요할까?

그래서 등장한 게 CA

그런데 또 문제

여기서 Root CA 등장

실제 Root CA 예시

브라우저가 실제로 믿는 건?

즉 신뢰 시작점

그런데 왜 Intermediate CA를 쓰나?

Root CA는 너무 중요함

그래서 Root CA는 보통

실제 인증서 발급은 Intermediate CA 담당

서버 인증서란?

브라우저 검증 흐름

서버가 보내는 것

브라우저는 검증

1

2

3

즉 체인 구조

이것이 Chain of Trust

Self-Signed 인증서는?

브라우저는 기본 불신

실제 검증 항목

인증서 폐기(CRL/OCSP)

왜 Let's Encrypt가 혁신적이었나?

실무에서 중요한 포인트

1. Root CA 신뢰가 인터넷 신뢰 기반

2. Intermediate 분리 매우 중요

3. 인증서 만료 관리 필수

전체 구조 한 번에

핵심 한 줄

'system_fundamentals > security_cryptography' 카테고리의 다른 글

댓글

티스토리툴바

CA 체계

핵심 구조 먼저

왜 이런 체계가 필요할까?

그래서 등장한 게 CA

그런데 또 문제

여기서 Root CA 등장

실제 Root CA 예시

브라우저가 실제로 믿는 건?

즉 신뢰 시작점

그런데 왜 Intermediate CA를 쓰나?

Root CA는 너무 중요함

그래서 Root CA는 보통

실제 인증서 발급은 Intermediate CA 담당

서버 인증서란?

브라우저 검증 흐름

서버가 보내는 것

브라우저는 검증

1

2

3

즉 체인 구조

이것이 Chain of Trust

Self-Signed 인증서는?

브라우저는 기본 불신

실제 검증 항목

인증서 폐기(CRL/OCSP)

왜 Let's Encrypt가 혁신적이었나?

실무에서 중요한 포인트

1. Root CA 신뢰가 인터넷 신뢰 기반

2. Intermediate 분리 매우 중요

3. 인증서 만료 관리 필수

전체 구조 한 번에

핵심 한 줄

'system_fundamentals > security_cryptography' 카테고리의 다른 글

관련글

댓글

티스토리툴바