Het OpenSSL-project wil overstappen van zijn eigen gebruikslicentie naar de Apache 2.0-licentie. Voor de overstap is de goedkeuring nodig van iedereen die als auteur mee heeft gewerkt aan de code van OpenSSL. Dat meldde Tweakers zaterdag. Het opensourceproject heeft een simpele BSD-achtige licentie maar met een irritante advertising-clausule, waar men nu vanaf wil. En overstappen naar de zeer standaard en breed gedragen Apache licentie ligt dan voor de hand. Alleen, krijgen ze dat voor elkaar?
OpenSSL is een veelgebruikte library voor het opzetten van beveiligde internetverbindingen. Het project is relatief oud: in 1998 verscheen de eerste versie van de software. Het concept open source was toen vrij nieuw, en daarom hanteerde men een eigen licentie die net even anders was dan andere. In principe is de licentie gelijk aan de BSD licentie, zij het ook wordt vereist dat alle advertenties voor afgeleide werken vermelden:
[T]his product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit
Dit is op zichzelf hooguit een tikje irritant maar de specifieke formulering van deze clausule maakte OpenSSL notoir GPL-incompatibel. En dat is vervelend als je bedenkt hoe veel GPL software er is die op zich best SSL-functionaliteit zou kunnen gebruiken. (Het GNU TLS project van later datum was er denk ik niet gekomen als OpenSSL deze bepaling niet had gehad.) Daarnaast is er nog een ambigue formulering in de licentie die de indruk wekt dat je de code niet mag integreren in een groter werk dat onder een andere licentie aangeboden wordt, wat volgens mij juridisch niet klopt maar goed discussie hou je altijd.
Het is dus méér dan de hoogste tijd voor het project om over te stappen naar iets moderns, en de Apache 2.0 is een prima keuze in dat verband.
Alleen, dat is een tikje ingewikkeld bij zo’n oud project want relicensing kan alleen als je van alle auteursrechthebbenden op de code toestemming hebt. En vind die maar eens na 20 jaar; het zou gaan om zo’n 1.000 mensen, volgens Tweakers.
Begrijpelijk dan ook dat het project heeft gekozen voor stilzwijgen is toestemming (als ik het goed lees, ik kan in het persbericht dit niet expliciet vinden). In theorie kan dat ook; vrijwel elk rechtsstelsel (ook Nederland) erkent dat rechtshandelingen door stilzwijgen kunnen worden verricht, zij het dat er vaak wel hoge eisen gelden aan duidelijkheid en intentie. Dat maakt het vaak lastig om (afgezien van zeer evidente situaties) je te beroepen op stilzwijgen als toestemming.
Hier zou die toestemming dan verkregen worden door naar het laatst bekende mailadres te mailen “Wij gaan uw code Apache 2.0 maken, graag reageren als u dat niet wilt”. Daar zit genoeg foutmarge in: het mailadres werkt niet meer, mail wordt stilletjes weggegooid, men wilde wel reageren maar de reactie kwam niet aan, de partij in kwestie ligt in het ziekenhuis en zijn mail stapelt zich op, en ga zo maar door. Dus of dat juridisch houdt, betwijfel ik.
Maar ja, wat moet je anders? De enige echte optie is dan om alle code te herschrijven waarvan geen expliciete toestemming is verkregen tot herlicentiëring. Dat lijkt me een hele bak werk, waar weinig eer aan te behalen valt.
Arnoud