Artur a écrit :
C'est peut-être une question un peu naïve, mais est-ce raisonnable d'utiliser des versions instables de Debian dans ce qui semble être un environnement de prod ?
Ce n'est pas unstable mais testing parce que stable est un peu ancienne pour les applications qui tournent sur cette machine.
Habituellement, je fais très attention aux mises à jours. Je n'ai pas vu venir l'effet de bord (serveurs de mails distants qui refusaient la renégociation sur TLS).
Nonobstant ceci, il est fort probable que ce paquet termine dans stable avec tous les problèmes qui s'ensuivront. Nous sommes exactement dans la situation d'il y a quelques années où un développeur Debian avait trouvé malin d'optimiser le code d'OpenSSL en introduisant une subtile erreur. Ici, on modifie le code de la bibliothèque parce que c'est certainement plus sécurisant en se foutant éperdument des conséquences et des problèmes d'interopérabilité. C'est un peu gênant. Et comme les logs se trouvent sur les serveurs distants sur lesquels on n'a pas la main, il peut se passer beaucoup de temps avant qu'on découvre le problème (je m'en suis aperçu parce que deux domaines posaient problème en émission, problème corrigé en patchant sendmail, et ce n'est qu'en analysant les logs de sendmail que j'ai trouvé quelques lignes bizarres.).
Cordialement, JKB