Os direitos de root também são necessários para se vincular às portas TCP privilegiadas 80 e 443, abrindo os arquivos de log, e não apenas para o direito de ler os arquivos de configuração, incluindo as chaves públicas e privadas.
Do manual do Apache :
... it is necessary to have root privileges in order to start apache, so that it can bind to this privileged port. Once the server has started and performed a few preliminary activities such as opening its log files, it will launch several child processes which do the work of listening for and answering requests from clients. The main httpd process continues to run as the root user, but the child processes run as a less privileged user. This is controlled by the selected Multi-Processing Module.
Com relação aos arquivos de chave pública e privada SSL, o AFAIK só é lido na inicialização, após o qual eles ficam na memória e permanecem disponíveis enquanto o servidor permanece em execução. (Veja esta questão )
Por isso, depois de heartbleed , que expôs pedaços aleatórios de memória do servidor web, você também precisou gerar novos certificados SSL e simplesmente corrigir não foi o suficiente. Com tempo e um pouco de sorte, o heartbleed poderia ter exposto os fragmentos de memória contendo sua chave privada SSL.