
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


On 26 Sep 2018, at 11:02 AM, Tony Finch <<a href="mailto:dot@dotat.at" class="">dot@dotat.at</a>> wrote:<br class="">


<div>


<blockquote type="cite" class=""><br class="Apple-interchange-newline">


<div class="">


<div class="">John Curran <<a href="mailto:jcurran@arin.net" class="">jcurran@arin.net</a>> wrote:<br class="">


<blockquote type="cite" class=""><br class="">


From <<a href="https://www.apnic.net/manage-ip/myapnic/digital-certificates/ca-terms-conditions/" class="">https://www.apnic.net/manage-ip/myapnic/digital-certificates/ca-terms-conditions/</a>><br class="">


<br class="">


"CA Terms & Conditions<br class="">


<br class="">


APNIC’s Certification Authority (CA) services are provided under the<br class="">


following terms and conditions: ...<br class="">


<br class="">


• The recipient of any Digital Certificates issued by the APNIC CA<br class="">


service will indemnify APNIC against any and all claims by third parties<br class="">


for damages of any kind arising from the use of that certificate.”<br class="">


</blockquote>


<br class="">


That's about certificates, not about trust anchors. It applies to APNIC<br class="">


members and account holders, not to relying parties.</div>


</div>


</blockquote>


<br class="">


</div>


<div>Tony - </div>


<div><br class="">


</div>


<div>Interesting assertion… while APNIC does issue digital certificates to APNIC customers for identity authentication purposes, it also issues digital certificates for RPKI. </div>


<div><br class="">


</div>


<div>It’s possible that the intent that the term “Digital Certificates” (capitalized) in the CA Terms and Conditions refers to only to those within APNIC’s identity CA, but the argument against that would be APNIC’s online information about "Digital Certificates"


 -  </div>


<div><br class="">


</div>


<div>=== From <<a href="https://www.apnic.net/manage-ip/myapnic/digital-certificates/about-cas/" class="">https://www.apnic.net/manage-ip/myapnic/digital-certificates/about-cas/</a>>)</div>


<div><i class=""><br class="">


</i></div>


<div><i class="">What is a Digital Certificate?</i></div>


<div><i class=""><br class="">


Digital Certificates bind an identity to a pair of electronic keys that can be used to encrypt and sign digital information. APNIC uses electronic certificates to prove its own identity, the identity of its Members, and the right-of-use over Internet resources.<br class="">


<br class="">


APNIC issues regular Public Key Infrastructure (PKI) certificates for access control to APNIC services such as the MyAPNIC Member services website.<br class="">


<br class="">


In the case of Resource Certification, APNIC issues Resource Public Key Infrastructure (RPKI) certificates that have ‘Certificate Extensions’ added. These Certificate Extensions carry the Internet number resources allocated or assigned to the APNIC Member who


 is the subject of the Resource Certificate. These Resource Certificates are different to the identity certificates used for Web system access, and may only be used in the context of verifying an entity’s “right-of-use” over an IP address or AS. As a result,


 APNIC now manages two independent certificate authorities, one for Member services, and the second for Resource Certification.</i></div>


…


<div class="">===</div>


<div class=""><br class="">


</div>


<div class="">Given that APNIC explicitly mentions the RPKI electronic certificates in their explanation of what Digital Certificates are (and further noting that ROA’s do indeed contain within them end-entity resource certificates with keys for verification),


 APNIC”s overall CA Terms and Conditions, including the referenced indemnification clause, would appear to be applicable to their RPKI CA services. </div>


<div class=""><br class="">


</div>


<div class="">If the intent was indeed to limit the scope, then then APNIC could have easily used the term “Identity Certificates” in the indemnification clause to make clear its limited scope; i.e. if you’re particularly concerned about liability from the


 resulting indemnification, it might be best to get this clarified one way or the other from APNIC. </div>


<div class=""><br class="">


</div>


<div class="">Thanks!</div>


<div class="">/John</div>


<div class=""><br class="">


</div>


<div class="">John Curran</div>


<div class="">President and CEO</div>


<div class="">ARIN</div>


<div class=""><br class="">


</div>


<div class=""><br class="">


</div>


<div class=""><br class="">


</div>


</body>


</html>