[gull] HTTPS servers that only support RC4 will stop working across major browsers in early 2016
Claude Paroz
claude at 2xlibre.net
Fri Jan 29 09:14:14 CET 2016
Le 29. 01. 16 09:06, Claude Paroz a écrit :
> Le 29. 01. 16 08:54, TISSOT Jacques a écrit :
>> Bonjour la communauté,
>>
>> L’Université de Fribourg tourne encore un moodle 1.9 sur une Debian
>> 5.0.10. Vu que bientôt les browser ne vont plus du tout supporter (c’est
>> le cas déjà de Chrome qui bloque sans détour possible) les négociations
>> de sécurité RC4/TLS1.0, nous nou trouvons devant une difficulté à
>> maintenir ce serveur. Plusieurs solutions du system manager sont
>> envisageables :
>>
>> -Pointer apt vers des sources plus récentes et installer le paquet
>> openssl qui supporterait une version de TLS1.1. Mais quelles conséquence
>> pour le reste du système (apache, par exemple) ?
>>
>> -Servir le site moodle en http plutôt qu’en https (bof).
>>
>> -Mettre à jour Debian toute entière vers une version encore supportée.
>> Mais ça, c’est beaucoup de risque, non ?
>
> Bonjour Jacques,
>
> Ce qui est "beaucoup de risque", c'est de continuer à utiliser en
> production des briques logicielles dont la sécurité n'est plus assurée.
>
> Je pense qu'il est essentiel de planifier une "montée" des versions,
> aussi bien de l'application que de l'OS serveur. L'ordre à appliquer
> dépendra surtout des versions de PHP prises en charge par la version
> installée de Moodle.
D'après ce fil de discussion [1], Moodle 1.9 tourne encore avec PHP 5.3.
Cela signifie qu'il devrait être possible de mettre à jour d'abord
Debian en version 6 (PHP 5.3.3) avant de s'occuper d'une mise à jour Moodle.
[1] https://moodle.org/mod/forum/discuss.php?d=153983
Claude
--
www.2xlibre.net
More information about the gull
mailing list