Пасля 11 месяцаў распрацоўкі кансорцыум ISC прадставіў першы стабільны рэліз новай значнай галіны DNS-сервера BIND 9.16. Падтрымка галіны 9.16 будзе ажыццяўляцца на працягу трох гадоў да 2 квартала 2023 года ў рамках пашыранага цыкла суправаджэння. Абнаўленні для мінулай LTS-галінкі 9.11 працягнуць выпускацца да снежня 2021 года. Падтрымка галіны 9.14 спыніцца праз тры месяцы.
Дададзены KASP (Key and Signing Policy), спрошчаны спосаб кіравання ключамі і лічбавымі подпісамі DNSSEC, заснаваны на заданні правіл, вызначаных пры дапамозе дырэктывы "dnssec-policy". Дадзеная дырэктыва дазваляе наладзіць генерацыю для DNS-зон неабходных новых ключоў і аўтаматычнае ўжыванне ключоў ZSK і KSK.
Істотна перапрацавана сеткавая падсістэма, якая пераведзена на механізм асінхроннай апрацоўкі запытаў, рэалізаваны на аснове бібліятэкі любіў.
Перапрацоўка пакуль не прывяла да бачных змен, але ў далейшых выпусках яна дасць магчымасць рэалізаваць некаторыя істотныя аптымізацыі прадукцыйнасці і дадаць падтрымку новых пратаколаў, такіх як DNS over TLS.
Палепшаны працэс кіравання давернымі прывязкамі DNSSEC (Trust anchor, прывязаны да зоны адчынены ключ для праверкі сапраўднасці гэтай зоны). Замест налад trusted-keys і managed-keys, якія зараз абвешчаныя састарэлымі, прапанавана новая дырэктыва trust-anchors, якая дазваляе кіраваць абодвума тыпамі ключоў.
Пры выкарыстанні trust-anchors з ключавым словам initial-key, паводзіны дадзенай дырэктывы ідэнтычна managed-keys, г.зн. вызначае наладу давернай прывязкі ў адпаведнасці з RFC 5011. Пры выкарыстанні trust-anchors з ключавым словам static-key, паводзіны адпавядаюць дырэктыве trusted-keys, г.зн. вызначае пастаянны ключ, які не абнаўляецца аўтаматычна. Таксама ў trust-anchors прапануюцца яшчэ два ключавыя словы initial-ds і static-ds, якія дазваляюць выкарыстоўваць даверныя прывязкі ў фармаце DS (Delegation Signer) замест DNSKEY, які дае магчымасць налады прывязак для яшчэ не апублікаваных ключоў (у будучыні арганізацыя IANA плануе выкарыстоўваць фармат DS для ключоў каравых зон).
Ва ўтыліты dig, mdig і delv дададзена опцыя "+yaml" для высновы ў фармаце YAML.
Ва ўтыліту dig дададзеная опцыя "+[no]unexpected", якая дазваляе прыём адказаў ад хастоў, адрозных ад сервера, якому быў адпраўлены запыт.
Ва ўтыліту dig дададзеная опцыя "+[no]expandaaaa", пры ўказанні якой IPv6-адрасы ў запісах AAAA паказваюцца ў поўным 128-бітным уяўленні, а не ў фармаце RFC 5952.
Дададзена магчымасць пераключэння груп каналаў статыстыкі.
Запісы DS і CDS зараз генеруюцца толькі на базе хэшаў SHA-256 (генерацыя на базе SHA-1 спынена).
Для DNS Cookie (RFC 7873) па змаўчанні задзейнічаны алгарытм SipHash 2-4, а падтрымка HMAC-SHA спынена (AES пакінуты).
Выснова каманд dnssec-signzone і dnssec-verify зараз накіроўваецца ў стандартны выходны струмень (STDOUT), а ў STDERR выводзяцца толькі звесткі пра памылкі і папярэджанні (пры ўказанні опцыі «-f» таксама выводзіцца падпісаная зона). Для прыглушэння вываду дададзена опцыя «-q».
Перапрацаваны код валідацыі DNSSEC, які пазбаўлены дублявання кода з іншымі падсістэмамі.
Для вываду статыстыкі ў фармаце JSON зараз можа выкарыстоўвацца толькі бібліятэка JSON-C. Опцыя configure "-with-libjson" пераназваная ў "-with-json-c".
У скрыпце configure больш не выстаўляецца па змаўчанні параметр "-sysconfdir" у /etc, а "localstatedir" у /var, калі не паказаны параметр "prefix". Па змаўчанні зараз выкарыстоўваюцца шляхі $prefix/etc і $prefix/var, ужывальныя ў Autoconf.
Выдалены код з рэалізацыяй сэрвісу DLV (Domain Look-aside Verification, опцыя dnssec-lookaside), які быў аб'яўлены састарэлым у BIND 9.12, а звязаны з ім апрацоўшчык dlv.isc.org быў выключаны ў 2017 годзе. Выдаленне DLV дазволіла пазбавіць код BIND ад лішніх ускладненняў.