中间证书，该怎么解释？

这应该是证书一级一级地信任原则吧，最上面是根证书，但基本不直接使用根证书签名文件。而是一级一级的信任，根证书发布中间证书，中间证书可以再发，然后用中间证书签署
例如：
Certificate 1 - Issued To: example.com; Issued By: Intermediate CA 1
Certificate 2 - Issued To: Intermediate CA 1; Issued By: Intermediate CA 2
Certificate 3 - Issued To: Intermediate CA 2; Issued By: Intermediate CA 3
Certificate 4 - Issued To: Intermediate CA 3; Issued By: Root CA

详见 https://en.wikipedia.org/wiki/Intermediate_certificate_authorities

根证书的服务器资源有限 访问起来也慢 就授权了可信中间机构代为颁发证书 比如 CA ，作用类似 DNS 递归服务器吧

证书有信任链原则。一些根 CA 资源有限，于是交叉签名了其他 CA 来帮他签名，就是所谓的中级证书。

代理商也要签发 做生意的 总不能把根给他 是吧

可以去看 Moxie Marlinspike 在 2009 BlackHat DC 对 sslstrip 做的 presentation

简单地来说，（也许不大准确）就是 Intermediate Certificate Authority
1.不是内置在浏览器中的
2.仍然具有权威性
3.可以验证站点证书是有权威性的

打错。。 CA 是根证书那边 CNNIC 是中国的

@kiritoalex 再多解释一下，
Certificate Authority Certificate （即根证书）有如下的特点：
1.内置在浏览器内
2.有权威性
3.验证 Intermediate Certificate Authority 是否具有权威性

之前 CNNIC 乱搞被谷歌和火狐的浏览器拒绝信任过
要全用根签，这一拒不是所有的证书都跪了。。

根一般不签证书，只授权下级签发机构的，类似于 A 信任 B ， B 信任 C 。你跟浏览器说“我是 C ”不行，必需补上一句“我是 B 推荐的”。

为安全原因，不会使用根证书签，而是签一个二级证书，再用二级证书签。

安全原因好象是通过特制的 hash 有可能解密出密钥。

好吧，用二级证书的原因是根证书密钥可以完全离线保存，安全性更好。

CA 是基本上不能三天两头变动的，中间证书可以快速根据安全的更新（比如 SHA1 升级到 SHA256 ）升级，算法的不同（ RSA/DSA ），还有证书类型的差异（ Domain Validated/ Organization Validated/ Extended Validated ）， CA 是内置在操作系统里面的 /或者是浏览器， 而中间证书是靠安全协议传输过来的，客户端能验证有效性就行了，不需要频繁更新。