Koniec Apache 2.2

Czy ktoś wie, kiedy przypada koniec okresu użytkowania Apache 2.2.x? Sądząc z historycznych wzorców, zgaduję w 2016 lub 2017 roku (zarówno 1.3, jak i 2.0 miały od 11 do 12 lat, a 2.2 wyszło w 2005 r.).

Miałem nadzieję znaleźć coś autorytatywnego, na przykład planowaną datę zakończenia lub minimalną datę zakończenia (np. Apache Software Foundation gwarantuje, że będzie obsługiwana do co najmniej 20 ##), ale nie mogłem znaleźć niczego online inne niż to, co wydarzyło się historycznie.

Zobacz tabelę na https://en.wikipedia.org/?title=Apache_HTTP_Server#Development dla historycznych dat wydania i EOL.

Apache to oprogramowanie typu open source, co oznacza, że ​​każdy może się tym zająć.

Ponadto Apache jest istotną częścią każdej dystrybucji Linuksa, z której np. RHEL / CentOS / Oracle Linux 6.x ma Apache 2.2 i będzie obsługiwany do listopada 2020 r. A każdy opiekun dystrybucji samodzielnie poprawia błędy w Apache (i innych pakietach oprogramowania).

Tak więc data PRAWDZIWEGO końca życia Apache 2.2 jest nieprzewidywalna.

Chociaż nie ma oficjalnego końca okresu użytkowania Apache 2.2, istnieje kilka środków, które można wykorzystać do ustalenia odpowiedniego czasu przejścia, a mianowicie:

• Obsługa funkcji (często za pośrednictwem modułów, np. Modssl)
• Przestrzeganie aktualnych standardów (np. TLSv1.2)
• Dostępność (cofanie portów) poprawek błędów
• Terminowość aktualizacji zabezpieczeń (np. Logjam)

Z mojej perspektywy kilka z tych linii zostało przekroczonych w ciągu ostatnich kilku lat. W szczególności Apache 2.2 z modssl nie ma jeszcze poprawki do luki w logjamie , ale Apache 2.4 ma to już od jakiegoś czasu.

Kilka lat temu obsługa SNI powoli docierała do Apache 2.2 - była to funkcja Apache 2.4, która przez długi czas była nieoficjalnie przenoszona przez nieoficjalną łatkę.

Używam Apache 2.2 od lat i dopiero kilka miesięcy temu zdecydowałem się na przejście do wersji 2.4 (jeden z naszych serwerów miał dodatkowy wymóg SSL, który obecnie może spełnić tylko Apache 2.4), więc obecnie mamy kilka serwerów 2.2, jakieś 2.4. Ostatecznie chcę obsługiwać tylko jeden stos serwerów. Twoje powody mogą się różnić, ale były to ważne punkty dla mojej decyzji.

From http://www.apache.org/dist/httpd/Announcement2.4.html :

Należy pamiętać, że Apache Web Server Project dostarczy tylko wersje konserwacyjne o wersji 2.2.x do czerwca 2017 r. I dostarczy niektóre poprawki bezpieczeństwa po tej dacie do co najmniej grudnia 2017 r. W tym okresie spodziewane są minimalne łaty konserwacyjne 2.2.x. kropka, a użytkownicy są zachęcani do niezwłocznego ukończenia przejścia na wersję httpd 2.4.x, aby skorzystać z dużo większego asortymentu drobnych poprawek bezpieczeństwa i błędów, a także nowych funkcji.