<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class="">Hey there BIND Users-</div><div class=""><br class=""></div><div class=""><div class="">We have removed the ISC custom SPEGNO implementation from the development branch (9.17.x). We intend to also remove it from BIND 9.16 and 9.11. This is very old and fragile code and it is provides extra risk for everyone, while being useful for (we think) almost nobody.</div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""><br class=""></span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">- First what it is: </span><a class="theme markdown__link" href="https://en.wikipedia.org/wiki/SPNEGO" rel="noreferrer" target="_blank" style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2; box-sizing: border-box; text-decoration: none; cursor: pointer; word-break: break-word;">SPNEGO</a><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""> </span><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">is some black magic which helps to negotiate how a client authenticates to a server (basically find intersection of sets of supported mechanisms on both sides) (</span><font face="Open Sans, sans-serif" size="2" class=""><span style="orphans: 2; widows: 2;" class=""><a href="https://en.wikipedia.org/wiki/SPNEGO" class="">https://en.wikipedia.org/wiki/SPNEGO</a></span></font></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""><br class=""></span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">- Normally it is provided by libraries installed in the operating system, but for historical reasons BIND carries its own copy of that library. (back when there were more operating systems that didn’t have this support)</span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""><br class=""></span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">- Support for BIND was introduced in 2006, and in the same year support for the same was introduced into</span><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""> </span><a class="theme markdown__link" href="https://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.html" rel="noreferrer" target="_blank" style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2; box-sizing: border-box; text-decoration: none; cursor: pointer; word-break: break-word;">MIT Kerberos 1.5</a><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">. (</span><font face="Open Sans, sans-serif" size="2" class=""><span style="orphans: 2; widows: 2;" class=""><a href="https://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.html" class="">https://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.html</a></span></font>)</div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""><br class=""></span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">- Systems with the MIT Kerberos library (which is open-source) newer than 15 years can use that system library version, and ignore whatever BIND ships.</span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class=""><br class=""></span></div><div class=""><span style="font-family: "Open Sans", sans-serif; font-size: 13.5px; orphans: 2; widows: 2;" class="">- The MIT Kerberos version has been patched many times over the years while the ISC implementation has not been well maintained.</span></div></div><div class=""><div class=""><br class=""></div></div><div class=""><div class=""><div class="">We wouldn’t normally remove something from an old stable extended support version (9.11) but since this code seems to be obsolete and risky, we plan to do so. If anyone can think of a good reason not to, please let us know asap. SW Engineering’s fingers are quivering over the delete key.</div></div><div class=""><br class=""></div><div class="">Thank you!</div><div class=""><br class=""></div><div class="">Vicky</div><div class="">-------------</div><div class="">Vicky Risk</div><div class="">Product Manager</div><div class=""><br class=""></div></div></body></html>