Apache 2.2 Lebensende

Weiß jemand, wann das Ende des Lebensdatums für Apache 2.2.x sein wird? Nach historischen Mustern zu urteilen, schätze ich für 2016 oder 2017 (sowohl 1,3 als auch 2,0 waren zwischen 11 und 12 Jahre alt und 2,2 kamen 2005 heraus).

Ich hatte gehofft, etwas maßgebliches zu finden, wie ein geplantes Ende des Lebensdatums oder ein Mindestdatum für das festgelegte Lebensende (dh die Apache Software Foundation garantiert, dass es bis mindestens 20 ## unterstützt wird), aber ich konnte online nichts finden anders als was historisch passiert ist.

In der Tabelle unter https://en.wikipedia.org/?title=Apache_HTTP_Server#Development finden Sie historische Veröffentlichungs- und EOL-Daten.

Apache ist Open-Source-Software, was bedeutet, dass sie von jedem, der daran interessiert ist, gewartet werden kann.

Außerdem ist Apache ein wesentlicher Bestandteil jeder Linux-Distribution, von der z. RHEL / CentOS / Oracle Linux 6.x verfügt über Apache 2.2 und wird bis November 2020 unterstützt. Und jeder Distributionsbetreuer behebt Fehler in Apache (und anderen Softwarepaketen) für sich.

Daher ist das Datum des REALEN Lebensendes für Apache 2.2 nicht vorhersehbar.

Obwohl es für Apache 2.2 kein offizielles Ende der Lebensdauer gibt, gibt es einige Maßnahmen, mit denen Sie eine angemessene Übergangszeit bestimmen können:

• Funktionsunterstützung (häufig über Module, z. B. modssl)
• Einhaltung der aktuellen Standards (z. B. TLSv1.2)
• Verfügbarkeit (Back-Porting) von Bugfixes
• Aktualität von Sicherheitsupdates (z. B. Stau)

Aus meiner Sicht wurden in den letzten Jahren mehrere dieser Grenzen überschritten. Insbesondere hat Apache 2.2 mit modssl noch keinen Fix für die Logjam-Sicherheitsanfälligkeit , aber Apache 2.4 hat dies schon seit einiger Zeit.

Vor einigen Jahren kam die SNI-Unterstützung für Apache 2.2 nur langsam - es war eine Apache 2.4-Funktion, die lange Zeit über einen inoffiziellen Patch zurückportiert wurde.

Ich verwende Apache 2.2 seit Jahren und habe erst vor einigen Monaten beschlossen, mit der Umstellung auf 2.4 zu beginnen (einer unserer Server hatte eine zusätzliche SSL-Anforderung, die derzeit nur Apache 2.4 erfüllen kann), sodass wir derzeit über 2.2 Server verfügen. einige 2.4. Letztendlich möchte ich nur einen einzigen Server-Stack unterstützen. Ihre Gründe mögen unterschiedlich sein, aber dies waren die wichtigen Punkte für meine Entscheidung.

Von http://www.apache.org/dist/httpd/Announcement2.4.html :

Bitte beachten Sie, dass Apache Web Server Project nur bis Juni 2017 Wartungsversionen der Version 2.2.x bereitstellt und bis mindestens Dezember 2017 einige Sicherheitspatches über dieses Datum hinaus bereitstellt. Währenddessen werden minimale Wartungspatches von 2.2.x erwartet Benutzer werden nachdrücklich aufgefordert, ihre Übergänge zur Version 2.4.x von httpd unverzüglich abzuschließen, um von einer viel größeren Auswahl an kleineren Sicherheits- und Fehlerkorrekturen sowie neuen Funktionen zu profitieren.