<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><blockquote type="cite"><div dir="ltr"><div>I reached out to the BouncyCastle project [3] and they are
          basically OK with the OpenJDK project to go ahead and remove
          the APIs:</div></div></blockquote></div></blockquote><div>I reached out to the Conscrypt team with a PR. While the PR cannot be integrated in its current form, the ensuing discussion was instructive:<br></div><div><br></div><div><a href="https://github.com/google/conscrypt/pull/1128" target="_blank">https://github.com/google/conscrypt/pull/1128</a><br></div><div><br></div><div>Pete provides a neat explanation of how Conscrypt is packaged and used in the wider Opecosystem. I think the key takeaway for OpenJDK seems to be:</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I think for OpenJDK and standalone Android builds, it's probably fine to simply drop support for the getPeerCertificateChain() API at a release boundary. Caveat emptor etc.</blockquote><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">TBH we've never assumed that upstream OpenJDK would worry about us when making breaking changes. :) I don't mean that in a negative way, just that your priorities are not the same as ours and so it's up to us to react as needed.</blockquote><div><br></div><div>Pete then goes on to explain that javax.security.cert currently isn't formally marked as deprecated in Android Platform, so they are lagging behind aim to align with OpenJDK in this respect.</div><div><br></div><div>The rest of his comments are mainly focused on the Android parts, it's a good read for anyone interested in that.</div><div><br></div><div>Thanks,</div><div>Eirik.</div></div></div>