為什麼不直接用 Root CA 簽發所有憑證

Root CA

把網路世界比喻成一個社會，Root CA 的角色就像是「內政部」或「最高法院」，它是所有身分驗證的最上位權威。

在數位世界的信任體系（公鑰基礎建設，PKI）中，Root CA (根憑證機構) 代表的是「信任的終點」或「信任的源頭」。

它是「信任鏈」的錨點 (Trust Anchor)

在 HTTPS 連線中，你的瀏覽器之所以相信某個網站，是因為它信任簽發該網站的中繼機構，而中繼機構又被 Root CA 信任。Root CA 不需要任何人證明它的身分，它自己證明自己。

技術特徵： Root CA 的憑證是「自簽名憑證」（Self-signed Certificate），其 Issuer (簽發者) 和 Subject (主體) 是完全相同的。

當一家公司（如 DigiCert, GlobalSign）被公認為 Root CA 時，代表它的安全規範、物理環境和法律責任已經通過了極其嚴苛的 WebTrust 審計。一旦通過，各大作業系統（Windows, macOS, Android, iOS）和瀏覽器（Chrome, Firefox）就會將它的「公鑰」預先埋入系統中。

Root CA 的私鑰通常會離線保存（Offline），放在保險箱裡。離線保存、高度加密的硬體 (HSM)

如果中繼憑證被盜用，只需要撤銷該中繼憑證即可，不需要更換全世界都已經信任的根憑證。

類比

你的護照：是 End-entity Certificate（個人憑證）。
外交部領事事務局：是 Intermediate CA（中繼機構，負責審核與蓋章）。
國家（中華民國/台灣）：是 Root CA。外國政府之所以承認你的護照，是因為他們信任「發行這本護照的國家權威」。