
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-GB" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><o:p> </o:p></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal" style="margin-left:36.0pt"><b><span style="font-size:12.0pt;color:black">From:


</span></b><span style="font-size:12.0pt;color:black">NANOG <nanog-bounces@nanog.org> on behalf of John Curran <jcurran@arin.net><br>


<b>Date: </b>Wednesday, 26 September 2018 at 16:51<br>


<b>To: </b>Tony Finch <dot@dotat.at><br>


<b>Cc: </b>David Wishnick <dwishn@law.upenn.edu>, nanog list <nanog@nanog.org>, "Ben@benjojo.co.uk" <Ben@benjojo.co.uk>, Job Snijders <job@ntt.net><br>


<b>Subject: </b>Re: ARIN RPKI TAL deployment issues<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<p class="MsoNormal" style="margin-left:36.0pt">On 26 Sep 2018, at 11:02 AM, Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:<o:p></o:p></p>


<div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">John Curran <<a href="mailto:jcurran@arin.net">jcurran@arin.net</a>> wrote:<br>


<br>


<o:p></o:p></p>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p class="MsoNormal" style="margin-left:36.0pt"><br>


From <<a href="https://www.apnic.net/manage-ip/myapnic/digital-certificates/ca-terms-conditions/">https://www.apnic.net/manage-ip/myapnic/digital-certificates/ca-terms-conditions/</a>><br>


<br>


"CA Terms & Conditions<br>


<br>


APNIC’s Certification Authority (CA) services are provided under the<br>


following terms and conditions: ...<br>


<br>


• The recipient of any Digital Certificates issued by the APNIC CA<br>


service will indemnify APNIC against any and all claims by third parties<br>


for damages of any kind arising from the use of that certificate.”<o:p></o:p></p>


</blockquote>


<p class="MsoNormal" style="margin-left:36.0pt"><br>


That's about certificates, not about trust anchors. It applies to APNIC<br>


members and account holders, not to relying parties.<o:p></o:p></p>


</div>


</div>


</blockquote>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">Tony - <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">Interesting assertion… while APNIC does issue digital certificates to APNIC customers for identity authentication purposes, it also issues digital certificates for RPKI. <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">It’s possible that the intent that the term “Digital Certificates” (capitalized) in the CA Terms and Conditions refers to only to those within APNIC’s identity CA, but the argument against that would be APNIC’s


 online information about "Digital Certificates" -  <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">=== From <<a href="https://www.apnic.net/manage-ip/myapnic/digital-certificates/about-cas/">https://www.apnic.net/manage-ip/myapnic/digital-certificates/about-cas/</a>>)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><i>What is a Digital Certificate?</i><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><i><br>


Digital Certificates bind an identity to a pair of electronic keys that can be used to encrypt and sign digital information. APNIC uses electronic certificates to prove its own identity, the identity of its Members, and the right-of-use over Internet resources.<br>


<br>


APNIC issues regular Public Key Infrastructure (PKI) certificates for access control to APNIC services such as the MyAPNIC Member services website.<br>


<br>


In the case of Resource Certification, APNIC issues Resource Public Key Infrastructure (RPKI) certificates that have ‘Certificate Extensions’ added. These Certificate Extensions carry the Internet number resources allocated or assigned to the APNIC Member who


 is the subject of the Resource Certificate. These Resource Certificates are different to the identity certificates used for Web system access, and may only be used in the context of verifying an entity’s “right-of-use” over an IP address or AS. As a result,


 APNIC now manages two independent certificate authorities, one for Member services, and the second for Resource Certification.</i><o:p></o:p></p>


</div>


<p class="MsoNormal" style="margin-left:36.0pt">… <o:p></o:p></p>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">===<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">Given that APNIC explicitly mentions the RPKI electronic certificates in their explanation of what Digital Certificates are (and further noting that ROA’s do indeed contain within them end-entity resource certificates


 with keys for verification), APNIC”s overall CA Terms and Conditions, including the referenced indemnification clause, would appear to be applicable to their RPKI CA services. <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">If the intent was indeed to limit the scope, then then APNIC could have easily used the term “Identity Certificates” in the indemnification clause to make clear its limited scope; i.e. if you’re particularly concerned


 about liability from the resulting indemnification, it might be best to get this clarified one way or the other from APNIC. <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">Thanks!<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">/John<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">John Curran<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">President and CEO<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">ARIN<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I asked APNIC about this and they confirmed that making use of their RPKI TAL does not bind you to their CA terms and conditions, so there’s no indemnity requirement.<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><span style="color:black">Edward Dore <o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:black">Freethought Internet</span><o:p></o:p></p>


</div>


</div>


</body>


</html>