Apache 2.2 fin de vie

Est-ce que quelqu'un sait quand la date de fin de vie sera pour Apache 2.2.x? À en juger par les tendances historiques, je suppose qu'en 2016 ou 2017 (1,3 et 2,0 étaient entre 11 et 12 ans, et 2,2 sont sortis en 2005).

J'espérais trouver quelque chose faisant autorité, comme une date de fin de vie prévue ou une date de fin de vie minimum engagée (c'est-à-dire que la Fondation Apache Software garantit qu'elle sera prise en charge jusqu'à au moins 20 ##), mais je n'ai rien trouvé en ligne autre que ce qui s'est passé historiquement.

Voir le tableau sur https://en.wikipedia.org/?title=Apache_HTTP_Server#Development pour la version historique et les dates de fin de vie.

Apache est un logiciel open source, ce qui signifie qu'il peut être maintenu par toute personne intéressée à le faire.

En outre, Apache est une partie vitale de toutes les distributions Linux, à partir desquelles, par exemple. RHEL / CentOS / Oracle Linux 6.x dispose d'Apache 2.2 et sera pris en charge jusqu'en novembre 2020. Et chaque responsable de distribution corrige les bogues d'Apache (et d'autres packages logiciels) par lui-même.

La date de fin de vie réelle d'Apache 2.2 est donc imprévisible.

Bien qu'il n'y ait pas de fin de vie officielle pour Apache 2.2, il existe quelques mesures que vous pouvez utiliser pour déterminer un temps de transition approprié, à savoir:

• Prise en charge des fonctionnalités (souvent via des modules, par exemple modssl)
• Adhésion aux normes actuelles (par exemple, TLSv1.2)
• Disponibilité (back-portage) de corrections de bugs
• Actualité des mises à jour de sécurité (par exemple, blocage de journal)

De mon point de vue, plusieurs de ces lignes ont été franchies au cours des dernières années. Plus précisément, Apache 2.2 avec modssl n'a pas encore de correctif pour la vulnérabilité logjam , mais Apache 2.4 a cela depuis un certain temps maintenant.

Il y a quelques années, la prise en charge SNI était lente à arriver à Apache 2.2 - c'était une fonctionnalité Apache 2.4 rétroportée via un correctif non officiel pendant longtemps.

J'utilise Apache 2.2 depuis des années et j'ai seulement décidé de commencer la transition vers 2.4 il y a quelques mois (un de nos serveurs avait une exigence SSL supplémentaire que seul Apache 2.4 peut actuellement satisfaire), nous avons donc actuellement quelques serveurs 2.2, certains 2.4. En fin de compte, je ne souhaite prendre en charge qu'une seule pile de serveurs. Vos raisons peuvent varier, mais ce sont les points importants pour prendre ma décision.

Sur http://www.apache.org/dist/httpd/Announcement2.4.html :

Veuillez noter qu'Apache Web Server Project ne fournira des versions de maintenance de la version 2.2.x qu'en juin 2017, et fournira certains correctifs de sécurité au-delà de cette date jusqu'en décembre 2017 au moins. Des correctifs de maintenance minimaux de 2.2.x sont attendus tout au long de cette période, et les utilisateurs sont fortement encouragés à terminer rapidement leurs transitions vers la version 2.4.x de httpd pour bénéficier d'un assortiment beaucoup plus large de corrections de bugs et de sécurité mineures ainsi que de nouvelles fonctionnalités.