Ambos, Qualys SSL test e Comodo estão corretos. Comodo está correto da perspectiva do código do lado do servidor. O Nginx deve confiar nos certificados que usa.
Por outro lado, o teste Qualys SSL está correto da perspectiva do protocolo de rede. Durante a negociação de SSL, o servidor deve enviar seu próprio certificado SSL e todos os certificados CA intermediários, exceto o certificado raiz. Uma referência de RFC 5246 §7.4.2 :
certificate_list This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.