<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
On Dec 4, 2014, at 1:12 PM, William Herrin <<a href="mailto:bill@herrin.us" class="">bill@herrin.us</a>> wrote:<br class="">
<div>
<blockquote type="cite" class=""><br class="Apple-interchange-newline">
<div class="">
<div dir="ltr" class="">
<div class="">On Thu, Dec 4, 2014 at 10:59 AM, John Curran <<a href="mailto:jcurran@arin.net" class="">jcurran@arin.net</a>> wrote:<br class="">
> Actually, the terms regarding indemnification and warrant disclaimer are nearly<br class="">
> identical to that contained in the other RIR's RPKI agreements; are those also<br class="">
> problematic, or is the difficultly that principally that ARIN agreeing to the<br class="">
> terms explicit rather than implicit?<br class="">
<br class="">
</div>
Hi John,<br class="">
<br class="">
I've seen a lot of hand waving, but I still have no clue how the publication of RPKI data places ARIN at a different risk than publication of registration data via whois. </div>
</div>
</blockquote>
<br class="">
</div>
<div>Bill - </div>
<div> </div>
<div>  Parties are likely to use RPKI services such that (as someone put</div>
<div>  it recently) - "routing decisions are affected and breakage happens” </div>
<div><br class="">
</div>
<div>  While such impacts could happen with whois, parties would have to </div>
<div>  create the linkages themselves, whereas with RPKI it is recognized</div>
<div>  that the system is designed to provide information for influencing of</div>
<div>  routing decisions (a major difference, and one that a judge could be</div>
<div>  made to recognize if some service provider has a prolonged outage</div>
<div>  due to their own self-inflicted Whois data wrangling into routing filters.)</div>
<div><br class="">
</div>
<div>  Given the nature of RPKI, it is clear that ARIN needs to engineer the </div>
<div>  service with full awareness of the potential risks (even though such </div>
<div>  risks are predominantly the result of parties using RPKI data without </div>
<div>  appropriate best practices.)   We have no problem offering a highly-</div>
<div>  reliable service; the risk of concern stems from third-parties who suffer</div>
<div>  major damages and want to assert that it was the result of an ISP’s </div>
<div>  misusage of ARIN’s RPKI service or ARIN’s RPKI service itself, even </div>
<div>  if the underlying cause in truth was completely unrelated to ARIN’s </div>
<div>  RPKI services.  Recognize that large harmed parties tend to litigate </div>
<div>  everyone, with the innocent parties extracting themselves only after </div>
<div>  lengthy battles, and such battles are very difficult when it comes to </div>
<div>  proving the proper state of technical service at a given point in time.</div>
<div><br class="">
</div>
<div>  I hope this helps in outlining some of the significant differences.</div>
<div><br class="">
</div>
<div>/John</div>
<div><br class="">
</div>
<div>John Curran</div>
<div>President and CEO</div>
<div>ARIN</div>
<div><br class="">
</div>
<div>  </div>
<div><br class="">
</div>
<div><br class="">
</div>
<div>  </div>
</body>
</html>