
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


On 26 Sep 2018, at 8:21 AM, Job Snijders <<a href="mailto:job@ntt.net" class="">job@ntt.net</a>> wrote:<br class="">


<div>


<blockquote type="cite" class=""><br class="">


<div class="">


<div class="">


<blockquote type="cite" class="">ARIN and APNIC go further by having indemnification by parties using<br class="">


information in the CA; in ARIN’s case, this requires an explicit act<br class="">


of acceptance to be legally valid.<br class="">


</blockquote>


<br class="">


Are you sure about APNIC? The APNIC TAL is available here in a plain and<br class="">


simple format:  <a href="https://www.apnic.net/community/security/resource-certification/apnic-rpki-trust-anchor-locator/" class="">https://www.apnic.net/community/security/resource-certification/apnic-rpki-trust-anchor-locator/</a><br class="">


no mention of indemnification, restrictions, liability, limitations or<br class="">


an agreement</div>


</div>


</blockquote>


<div><br class="">


</div>


<div>Job -</div>


<div><br class="">


</div>


From <<a href="https://www.apnic.net/manage-ip/myapnic/digital-certificates/ca-terms-conditions/" class="">https://www.apnic.net/manage-ip/myapnic/digital-certificates/ca-terms-conditions/</a>></div>


<div><br class="">


</div>


<div><span class="Apple-tab-span" style="white-space:pre"></span>"CA Terms & Conditions<br class="">


<br class="">


<span class="Apple-tab-span" style="white-space:pre"></span>APNIC’s Certification Authority (CA) services are provided under the following terms and conditions:<br class="">


<span class="Apple-tab-span" style="white-space:pre"></span>...<br class="">


<div class=""><span class="Apple-tab-span" style="white-space: pre;"></span>• The recipient of any Digital Certificates issued by the APNIC CA service will indemnify APNIC against any and all claims by third parties for damages of any kind arising from the


 use of that certificate.”</div>


<div class=""><br class="">


</div>


<div class="">I imagine that folks are not aware of that (just as they are unaware of the indemnification in most RIR service agreements) due to absence of any requirement to explicitly acknowledge same. </div>


<br class="">


</div>


<div>


<blockquote type="cite" class="">What makes ARIN's situation unique compared to other PKI systems and<br class="">


certificate authorities? I only see examples where relying parties are<br class="">


accomodated in every possible way for access to the root certificates.</blockquote>


<br class="">


</div>


<div>The requirement upon relying parties is not unique among RIRs - see above re APNIC.   There is nothing inherent to PKI that requires specific terms (e.g. indemnification for damages arising from use), but it should not be surprising that the PKI use for


 routing validation poses the opportunity for very significant damage claims if not done by every network operator according to best practices.   In the case of ARIN, this does necessitate indemnification in order to reduce risk exposure to the overall RIR


 mission. </div>


<div><br class="">


</div>


<div>Thanks,</div>


<div>/John</div>


<div><br class="">


</div>


<div>John Curran</div>


<div>President and CEO</div>


<div>ARIN</div>


<div><br class="">


</div>


</body>


</html>