<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>
<div>On Dec 5, 2012, at 5:18 PM, Owen DeLong <<a href="mailto:owen@delong.com">owen@delong.com</a>> wrote:</div>
<br class="Apple-interchange-newline">
<blockquote type="cite">
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>
<div>On Dec 5, 2012, at 13:18 , John Curran <<a href="mailto:jcurran@arin.net">jcurran@arin.net</a>> wrote:</div>
<blockquote type="cite">
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>
<div>Wes - </div>
<div><br>
</div>
<div> We've done extensively legal work, but outlining the circumstances of </div>
<div> potential liability publicly is not something that makes sense for ARIN </div>
<div> to do.   If you obtain commercial certificates (e.g. SSL), you will generally</div>
<div> find that you enter into agreements that require you provide indemnification </div>
<div> to the provider based on your use of the certificate.</div>
</div>
</div>
</blockquote>
<div><br>
</div>
But the purchaser (web site) is rarely the relying party (visitor to web site).</div>
</div>
</blockquote>
<div><br>
</div>
Correct.  In the case of an SSL certificate, the organization obtaining it is generally </div>
<div>the harmed party if something goes wrong or they misuse it (e.g. Internet users can't </div>
<div>get to their application, or receive an interesting warning,etc.)  While the relying party</div>
<div>is technically the end-user and his browser, the consequences for any one user is </div>
<div>really quite low.  The user may not indemnify the certificate provider as a result, but </div>
<div>the organization obtaining the certificate does.</div>
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div><br>
</div>
</div>
<blockquote type="cite">
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>With ARIN RPKI, you've seriously expanded and  effectively reversed the</div>
<div>nature of the contractual relationship in the creation of the RPA. You're</div>
<div>not only requiring those receiving certificates to sign, you're requiring</div>
<div>those obtaining certificate data to sign.</div>
</div>
</blockquote>
<br>
</div>
<div>Those validating certificates are "relying parties", and yes, we require them to</div>
<div>have a "relying party agreement."  Note that in this case, the relying party is</div>
<div>likely to be an entire organization or service provider, as opposed to a single</div>
<div>user, and the consequences of incorrect usage could be quite extensive and </div>
<div>impacting many parties who are downstream of the relying party.  The scale</div>
<div>and potential for consequences to entire organizations otherwise unaware of</div>
<div>the use the technology more than warrants seeking indemnification from relying</div>
<div>parties, just as organizations using certificates for the web sites provide it their</div>
<div>service providers,</div>
<div><br>
</div>
<div>FYI,</div>
<div>/John</div>
<div><br>
</div>
<div>John Curran</div>
<div>President and CEO</div>
<div>ARIN</div>
<div><br>
</div>
<br>
</body>
</html>