Я предположил, что SVG с встроенным avatar в base64 использовалась по той же причине, по которой «так делался» логотип: чтобы сертификат мог быть снимком в момент времени — возможно, сохранённым получателем, без каких-либо внешних зависимостей, чтобы он всё ещё отображался позже точно так же.
Подход с iframe препятствует его лёгкому распространению и хвастовству в посте. Не знаю, насколько это распространено на других форумах, но я видел, как некоторые наши пользователи делают это, просто копируя URL изображения.
Если использовать ссылку на внешний ресурс, не сработает ли здесь <image>, чтобы избежать необходимости менять allowed_iframes?