Az intermediate-ben meg egyből bízik mindenki, aki a Root-ban amúgy bízik.
Ez szerintem már végpont-implementáció kérdése, és nem feltételnélkül igaz mindig és mindekire, amit írtál. Van, ahol az intermediate CA cert-et is ugyanúgy be kell importálni (mint a root CA cert-et), különben nem lesz sikeres a teljes trust-chain validation.