Після 11 місяців розробки консорціум ISC представив перший стабільний реліз нової значної галузі DNS-сервера BIND 9.16. Підтримка гілки 9.16 буде здійснюватись протягом трьох років до 2 кварталу 2023 року в рамках розширеного циклу супроводу. Оновлення для минулої LTS-гілки 9.11 продовжать випускатися до грудня 2021 року. Підтримка гілки 9.14 припиниться за три місяці.
Доданий KASP (Key and Signing Policy), спрощений спосіб управління ключами та цифровими підписами DNSSEC, заснований на завданні правил, визначених директивою «dnssec-policy». Ця директива дозволяє настроїти генерацію для DNS-зон необхідних нових ключів та автоматичне застосування ключів ZSK та KSK.
Істотно перероблено мережну підсистему, яка переведена на механізм асинхронної обробки запитів, реалізований на основі бібліотеки libuv.
Переробка поки що не призвела до видимих змін, але в подальших випусках вона дасть можливість реалізувати деякі суттєві оптимізації продуктивності та додати підтримку нових протоколів, таких як DNS over TLS.
Покращено процес керування довірчими прив'язками DNSSEC (Trust anchor, прив'язаний до зони відкритий ключ для автентифікації цієї зони). Замість налаштувань trusted-keys та managed-keys, які тепер оголошені застарілими, запропоновано нову директиву trust-anchors, що дозволяє керувати обома типами ключів.
З використанням trust-anchors з ключовим словом initial-key, поведінка цієї директиви ідентично managed-keys, тобто. визначає налаштування довірчої прив'язки відповідно до RFC 5011. При використанні trust-anchors з ключовим словом static-key, поведінка відповідає директиві trusted-keys, тобто. визначає постійний ключ, який автоматично не оновлюється. Також у trust-anchors пропонуються ще два ключові слова initial-ds та static-ds, що дозволяють використовувати довірчі прив'язки у форматі DS (Delegation Signer) замість DNSKEY, який дає можливість налаштування прив'язок для ключів, що ще не опубліковані (у майбутньому організація IANA планує використовувати формат DS для ключів коревих зон).
Утиліти dig, mdig і delv додана опція «+yaml» для виведення у форматі YAML.
В утиліту dig додано опцію «+[no]unexpected», що дозволяє прийом відповідей від хостів, що відрізняються від сервера, якому було надіслано запит.
В утиліту dig додано опцію "+[no]expandaaaa", при вказівці якої IPv6-адреси в записах AAAA показуються в повному 128-бітному поданні, а не у форматі RFC 5952.
Додано можливість перемикання груп каналів статистики.
Записи DS та CDS тепер генеруються тільки на базі хешів SHA-256 (генерація на базі SHA-1 припинена).
Для DNS Cookie (RFC 7873) за замовчуванням задіяно алгоритм SipHash 2-4, а підтримка HMAC-SHA припинена (AES залишено).
Виведення команд dnssec-signzone і dnssec-verify тепер направляється у стандартний вихідний потік (STDOUT), а в STDERR виводяться лише відомості про помилки та попередження (при вказівці опції -f також виводиться підписана зона). Для приглушення виводу додано опцію "-q".
Перероблено код валідації DNSSEC, який позбавлений дублювання коду з іншими підсистемами.
Для виведення статистики у форматі JSON тепер можна використовувати лише бібліотеку JSON-C. Опція configure "-with-libjson" перейменована в "-with-json-c".
У скрипті configure більше не виставляється за замовчуванням параметр "sysconfdir" в / etc, а "localstatedir" в / var, якщо не вказаний параметр "prefix". За замовчуванням тепер використовуються шляхи $prefix/etc і $prefix/var, які застосовуються у Autoconf.
Видалено код з реалізацією сервісу DLV (Domain Look-aside Verification, опція dnssec-lookaside), який було оголошено застарілим у BIND 9.12, а пов'язаний з ним обробник dlv.isc.org було вимкнено у 2017 році. Видалення DLV дозволило позбавити код BIND зайвих ускладнень.