Fim da vida útil do Apache 2.2

Alguém sabe quando será a data de término da vida útil do Apache 2.2.x? A julgar pelos padrões históricos, suponho que em 2016 ou 2017 (1,3 e 2,0 foram entre 11 e 12 anos e 2,2 saiu em 2005).

Eu esperava encontrar algo autoritário, como uma data planejada para o fim da vida útil ou uma data mínima comprometida para o fim da vida útil (ou seja, a Apache Software Foundation garante que ele seja suportado até pelo menos 20 ##), mas não consegui encontrar nada on-line diferente do que aconteceu historicamente.

Consulte a tabela em https://en.wikipedia.org/?title=Apache_HTTP_Server#Development para obter o histórico do lançamento e as datas da EOL.

O Apache é um software de código aberto, o que significa que pode ser mantido por qualquer pessoa interessada em fazer isso.

Além disso, o Apache é uma parte vital de todas as distribuições Linux, das quais, por exemplo. O RHEL / CentOS / Oracle Linux 6.x possui o Apache 2.2 e será suportado até novembro de 2020. E cada mantenedor da distribuição corrige bugs no Apache (e outros pacotes de software) por conta própria.

Portanto, a data do final da vida real do Apache 2.2 é imprevisível.

Embora não haja um fim de vida oficial para o Apache 2.2, existem algumas medidas que você pode usar para determinar um tempo de transição apropriado, a saber:

• Suporte a recursos (geralmente via módulos, por exemplo, modssl)
• Adesão aos padrões atuais (por exemplo, TLSv1.2)
• Disponibilidade (back-portting) de correções de bugs
• Oportunidade de atualizações de segurança (por exemplo, logjam)

Na minha perspectiva, várias dessas linhas foram cruzadas nos últimos anos. Especificamente, o Apache 2.2 com modssl ainda não possui uma correção para a vulnerabilidade do logjam , mas o Apache 2.4 já o faz há algum tempo.

Há alguns anos, o suporte ao SNI demorou a chegar ao Apache 2.2 - era um recurso do Apache 2.4 suportado por um patch não oficial por um longo tempo.

Eu uso o Apache 2.2 há anos e só decidi começar a transição para a 2.4 alguns meses atrás (um de nossos servidores tinha um requisito adicional de SSL que somente o Apache 2.4 pode satisfazer atualmente), por isso, atualmente, temos alguns servidores 2.2, alguns 2.4. Por fim, quero apenas suportar uma única pilha de servidores. Seus motivos podem variar, mas esses foram os pontos importantes para tomar minha decisão.

Em http://www.apache.org/dist/httpd/Announcement2.4.html :

Observe que o Apache Web Server Project fornecerá apenas versões de manutenção da versão 2.2.x até junho de 2017 e fornecerá algumas correções de segurança além dessa data até pelo menos dezembro de 2017. Espera-se que sejam necessárias correções mínimas de manutenção da 2.2.x e os usuários são fortemente encorajados a concluir prontamente suas transições para o sabor do httpd 2.4.x, para se beneficiar de uma variedade muito maior de segurança menor e correções de bugs, além de novos recursos.