Максим, большое спасибо за ответ и за патч!
Насчет проблем безопасности.
Может ввести параметр типа trust_only_last_CA_in_chain? При активации этого параметра nginx будет считать валидной только ту цепочку, которая строится с участием последнего (issuing) CA из списка ssl_trusted_certificate. Таких цепочек может быть несколько.
Т.е. размещая в ssl_trusted_certificate сертификат корневого CA, мы говорим nginx доверять всем сертификатам, подписанным этим CA, каскадно. Однако, размещая сертификат корневого CA плюс пару последовательно подчиненных CA, мы говорим доверять только сертификатам ниже последнего издающего CA в цепочке, каскадно.
Проверка пользовательского сертификата в приложении производится, тут проблем нет. Хочется рубить неправильные сертификаты средствами nginx, тем более, что он все равно производит проверку всей цепочки. :-)