Sim, esse é o modelo mais comum para CAs públicas, principalmente porque o "ca raiz" geralmente está offline. Você não pode roubar a chave ou comprometer uma máquina se ela estiver off-line. (pelo menos não através da rede)
Além disso, se o CA (emissão) intermediário for comprometido, a CA poderia apenas revogar esse sub-ca, sem ter que lidar com a obtenção de uma nova autoridade de certificação raiz em todos os navegadores.
Pode muito bem haver situações em que você recebe certificados assinados diretamente de uma CA raiz, mas não é comum entre os "CAs raiz confiáveis" do AFAIK.