与其在根池中存储完整的 x509.Certificate ,我们可以只存储完成链构建所需的信息(SPKI、主题、名称约束),显著减少池的内存占用。

当从 Verify 返回证书链时，我们需要构造一个仅部分填充的 stand-in x509.Certificate (我们需要决定设置哪些字段，以及根据典型的根配置文件，我们可以设置哪些字段而不会造成问题，例如，即使对于发行者与主题不匹配的根证书，是否始终将发行者设置为与主题匹配是安全的？)。根据用户对证书的使用情况，这可能会导致某些问题。因此，我们应该尽早在 1.17 周期中引入此更改，以便尽早发出任何重大破坏信号。

这还将减少 iOS 上的二进制大小，因为我们捆绑了根证书，并使诸如 #43958 之类的东西从二进制膨胀的Angular 更具吸引力。