Secure Boot 和 OTA 验签保护的是“设备只运行被授权、未篡改、版本策略允许的代码”。签名不是加密，也不是自动回滚保护；它必须和信任锚、逐级验证、metadata、计数器、A/B 恢复和签名密钥管理一起设计。

服务器信任 Root CA 或某个中间 CA。设备连接时发出设备证书和必要的中间证书。服务器验证证书链、有效期、用途、设备身份字段，再用证书里的公钥验证设备是否持有对应私钥。证书链解决的是“身份怎样被可信地绑定到公钥”，不是单纯的文件格式问题。