O arquivo de certificado SSL é um bloqueio.
O arquivo de chave de certificado SSL é sua chave.
Armazenar os dois juntos é o equivalente a gravar sua chave na fechadura da porta da frente.
Se um invasor comprometer o arquivo único, ele terá tudo o que precisa para representar com sucesso seu site (o certificado e a chave privada).
Isso é especialmente verdadeiro se você não tiver uma senha em sua chave SSL (muitos servidores da Web não permitem que sejam inicializados automaticamente em caso de falha).
O que você está defendendo ao separar os arquivos é um erro do Apache que faz com que ele despeje o conteúdo do SSLCertificateFile
(algo que deveria estar publicamente disponível) em um web client.
(Para meu conhecimento não existe esse bug, ou já existiu, mas o Apache é um software grande e complexo. É totalmente possível.)
Se o Apache despejar esse arquivo e tudo o que ele contiver for o Certificado SSL (o bloqueio), não há problema: todo mundo obtém uma cópia desse certificado quando faz uma solicitação SSL para o servidor, de qualquer maneira. Se o arquivo contiver a chave, você terá perdido qualquer chance de segurança - todo o seu modelo de criptografia será comprometido e você precisará alterar as chaves.