CA-Browserforum: Wirbel um geänderte Lizenzpolitik

Das Certification Authority Browser Forum (CA/Browser Forum) hat durch eine neue Lizenzpolitik (PDF-Datei) für Wirbel in der Organisation gesorgt, die sich eigentlich um Richtlinien und Praxishinweise für SSL-Zertifikate kümmern soll. Auf einer im August aktualisierten Mitgliederliste fehlten plötzlich namhafte Mitgliedsunternehmen und -Organisationen, darunter Kryptographie-Spezialist RSA, der Blackberry-Hersteller RIM und der US-Carrier Verizon. Eines der Gründerunternehmen des Browserforums, Entrust, erklärte jetzt lautstark seinen Austritt und begründete den Schritt mit dem angeblichen Zwang für alle Mitglieder, von ihnen patentierte Technologie künftig komplett lizenzfrei zur Verfügung zu stellen. "Glatt gelogen", schallte es Entrust von Seiten des Zertifikatsanbieters StartCom auf der öffentlichen Mailingliste des Browserforums entgegen.

Die neue Lizenzpolitik favorisiert lizenzfreie Standards für den Zertifizierungsmarkt. Dadurch hofft man auf weite Verbreitung der von der freiwilligen Standardisierungsorganisation entwickelten Technik. In der Regel, so heißt es in der neuen "Intellectual Property Rights (IPR) Policy" werde man auf die Verabschiedung von "Richtlinien" verzichten, sofern dafür Technologie notwendig ist, für die Lizenzgebühren zu bezahlen wäre. Patentansprüche sind zudem vorab jeweils offenzulegen. Allerdings können die Browserforum-Mitglieder laut Absatz 4.2 bei den Forenmitgliedern beantragen, dass ihre Patente von der Bedingung zur Lizenzfreiheit ausgenommen werden.

Eben darauf fußt die Kritik des StartCom-Geschäftsführers Eddy Nigg an Entrust. Anders als in seiner Pressemitteilung hatte sich Entrust auf einer öffentlichen Mailingliste des Forums differenzierter geäußert und die vorgesehenen Ausnahmen eigener Patente als "verwaltungstechnisch zu aufwendig" bezeichnet. Dass Entrust überdies verlauten ließ, viele der 19 nicht mehr als Mitglieder gelisteten Unternehmen hätten ebenfalls Probleme mit der IPR-Policy, sorgte für noch mehr Aufregung. Beim CA/Browserforum wird laut Nigg derzeit eine Stellungnahme dazu abgestimmt.

T-Systems, ein weiteres der von der Mitgliederliste verschwundenen Unternehmen, zeigt sich mit der Lizenzpolitik prinzipiell einverstanden: "Wir bereiten die Unterzeichnung vor", sagte Hold auf Anfrage von heise online. "Alle Tochterunternehmen werden von der IPR-Policy mit erfasst. Bei 69 Töchtern dauert das eben ein bisschen länger." Beim KDE e.V. äußert man sich etwas zurückhaltender. Die Browserforum-Mitgliedschaft werde derzeit diskutiert, teilte KDE-Vorstandsmitglied Lydia Pintscher mit. Pintscher ließ dabei offen, wie der der KDE selbst die IPR-Policy beurteilt.

Der Zertifikatsmarkt steht zum einen durch wiederholte Meldungen über kompromittierte Zertifikate und Zertifikatsanbieter und zum anderen durch erweiterte Möglichkeiten für Nutzer etwa aus der Unternehems-IT, selbst Domains zu signieren und im DNSSEC-gesicherten DNS zu hinterlegen, unter Druck. (ssu)