[gull] HTTPS servers that only support RC4 will stop working across major browsers in early 2016
Claude Paroz
claude at 2xlibre.net
Fri Jan 29 09:06:35 CET 2016
Le 29. 01. 16 08:54, TISSOT Jacques a écrit :
> Bonjour la communauté,
>
> L’Université de Fribourg tourne encore un moodle 1.9 sur une Debian
> 5.0.10. Vu que bientôt les browser ne vont plus du tout supporter (c’est
> le cas déjà de Chrome qui bloque sans détour possible) les négociations
> de sécurité RC4/TLS1.0, nous nou trouvons devant une difficulté à
> maintenir ce serveur. Plusieurs solutions du system manager sont
> envisageables :
>
> -Pointer apt vers des sources plus récentes et installer le paquet
> openssl qui supporterait une version de TLS1.1. Mais quelles conséquence
> pour le reste du système (apache, par exemple) ?
>
> -Servir le site moodle en http plutôt qu’en https (bof).
>
> -Mettre à jour Debian toute entière vers une version encore supportée.
> Mais ça, c’est beaucoup de risque, non ?
Bonjour Jacques,
Ce qui est "beaucoup de risque", c'est de continuer à utiliser en
production des briques logicielles dont la sécurité n'est plus assurée.
Je pense qu'il est essentiel de planifier une "montée" des versions,
aussi bien de l'application que de l'OS serveur. L'ordre à appliquer
dépendra surtout des versions de PHP prises en charge par la version
installée de Moodle.
Claude
--
www.2xlibre.net
More information about the gull
mailing list