se eu entendi corretamente, todos os pares em uma rede blockchain de malha (de alguma forma interconectada através de fofocas) só aceitarão conexões de entrada de outros pares se usarem uma conexão HTTPS com uma chave pública assinada pela CA de malha.

Isso está correto?

Portanto, no meu entendimento, a CA de raiz se torna o ponto único de falha, porque é possível modificá-la e, a partir de então, os certificados de CA de raiz modificados serão propagados para os nós e, eventualmente, nenhum nó poderá se conectar mais.

Isso está correto?