Devo fornecer um certificado raiz ao configurar o certificado SSL no nginx

Ambos, Qualys SSL test e Comodo estão corretos. Comodo está correto da perspectiva do código do lado do servidor. O Nginx deve confiar nos certificados que usa.

Por outro lado, o teste Qualys SSL está correto da perspectiva do protocolo de rede. Durante a negociação de SSL, o servidor deve enviar seu próprio certificado SSL e todos os certificados CA intermediários, exceto o certificado raiz. Uma referência de RFC 5246 §7.4.2 :

certificate_list This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

O ponto da validação da cadeia de certificados é que você possui certificados (raiz) confiáveis localmente e, a partir daí, adia a confiança para os certificados enviados pelo ponto. Portanto, o servidor deve enviar apenas o certificado folha e os certificados intermediários necessários para construir a cadeia confiável de um certificado raiz local para o certificado folha. O que significa que você não deve enviar o certificado raiz, mas se você não o fizer, normalmente será ignorado.

E você deve certificar-se de adicionar os certificados na ordem correta, ou seja, primeiro o certificado da folha e depois os certificados da cadeia na ordem de assinatura correta. Alguns servidores ou clientes podem trabalhar em uma ordem errada, mas você não deve contar com isso.