OpenSSL soll neue Lizenz bekommen

OpenSSL (OpenSSL.org)

Der Vorgang ist nicht ganz einfach: Alle die zu OpenSSL beigetragen haben, müssen zustimmen. Der Wechsel auf die Apache 2.0-Lizenz wird daher voraussichtlich einige Monate dauern.

OpenSSL soll mit Apache 2.0 eine neue Open-Source-Lizenz kommen. Diese Option wird schon seit geraumer Zeit diskutiert. Doch nun hat die zur Linux Foundation gehörende Core Infrastructure Initiative beschlossen, diesen Wechsel zu vollziehen, was voraussichtlich mehrere Monate in Anspruch nehmen wird.

Doch der Prozess ist einigermaßen aufwändig, denn damit das rechtlich einwandfrei ist, müssen im Grunde alle Entwickler, die jemals einen nennenswerten Beitrag zu diese Verschlüsselung geleistet haben, dem Lizenzwechsel zustimmen. Mit einem Tool werden die Autoren automatisch ermittelt, und auch wenn das nicht immer ganz fehlerfrei funktioniert, glauben die Initiatoren, das so sauber hinbekommen zu können, wie Projektmitarbeiter Rich Salz in einem Blog erklärt. 

OpenSSL (OpenSSL.org)

Etwa 400 Entwickler sollen dann per Mail kontaktiert und um Zustimmung gebeten werden. Meldet sich ein Autor nicht, dann werde das als Zustimmung gewertet.

Betroffene können sich über die Webseite OpenSSL License Change Agreement weitere Informationen holen, dort wird auch eine Liste mit den Autoren geführt. Verweigert ein Autor die Zustimmung, dann muss der entsprechende Code ersetzt oder geändert werden.

Tatsächlich macht der Wechsel unter die verbreitete Apache-2.0-Lizenz Sinn. Bislang steht die Verschlüsselungstechnologie OpenSSL unter einer etwa 20 Jahre alten dualen Lizenz, die an BDS und Apache 1.0 angelehnt ist, aber nur für OpenSSL verwendet wird. Dadurch ergeben sich einige Sonderregeln und Besonderheiten. Das erschwert nicht nur das Entwickeln und Einbinden der Software, sondern birgt auch eine gewisse Rechtsunsicherheit für Anwender von OpenSSL.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

“Diese Re-Lizenzierung wird OpenSSL in einem größtmöglichen Rahmen in freien und offenen Programmen noch bequemer einsetzbar machen”, kommentiert Mishi Choudhary, Legal Director des Software Freedom Law Center (SFLC). Auch Nicko van Someren, Chief Technology Officer, the Linux Foundation erhofft sich durch die Neulizenzierung für Anwender und Entwickler gleichermaßen Vorteile beim Einsatz von OpenSSL.

Kritik am Verfahren und an der Annahme, dass Stillschweigen als Zustimmung gewertet wird, kommt von dem OpenBSD-Chefentwickler Theo de Raadt, der vermutet, dass die Entscheidung an der Community vorbei von den beteiligten Organisationen und Unternehmen getroffen wurde.

OpenSSL hatte die Änderung der Lizenz im Nachgang an das schwerwiegende Heartbleed-Leck, das im April 2014 entdeckt wurde, in Erwägung gezogen.