Die Antwort ist ja nun online:
"The server does not send the Root CA because the client must already have it.. ... If the client does not have the root, then a bad guy can simply swap-in his root and chain."
Frei übersetzt lese ich das so: ohne das Root Zertifikat bereits auf einem anderen Weg dem Client bereitgestellt zu haben, kann man die Root CA nicht prüfen. Für die Prüfung muss man kontrollieren, ob das vorletzte Zertifikat mit dem Root-Zertifikat signiert wurde, nehme ich an.