Wenn man das gekaufte Zertifikat als Root verwenden würde/könnte, also damit weitere Zertifikate generieren könnte,
dann könnte man dann jedem sein "eigenes" geben und würde dann zumindet wissen, wenn irgendwas ist, an wen es abgegeben wurde.

Machen dir Anbieter ja auch so, dass sie ein Rootzertifikat haben (welches im Windows/Browser integriert ist) und dann von da aus baumartig vererben.
Am Ende wird dann die Zertifikatkette durchgegangen, ob das Zertifikat selbst oder ein Vorfahre als vertrauenswürdig gilt.