
<div dir="ltr">Considering that no browser, to my knowledge, implements or has ever implemented the bits necessary to count as a Relying Party under the various CPSes I've seen - many of which are written in terms of mandating hard-fail - does not give me personally much hope of seeing a successful claim being launched by either the subscriber or the RP.<div>

<br></div><div>However, in this vote, Google abstains. </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, May 5, 2014 at 3:24 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Eliminating the insurance protection eliminates the potential path to<br>

recovery from a CA who may not have the funds to pay for damages outside of<br>

insurance.  Insurance may not sufficiently cover bankruptcy events but it<br>

does cover events which do not end in the nuclear option.  That's why we<br>

permit self-insured only with a substantial number of assets.<br>

<span class="HOEnZb"><font color="#888888"><br>

Jeremy<br>

</font></span><div class="im HOEnZb"><br>

-----Original Message-----<br>

From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On<br>

</div><div class="HOEnZb"><div class="h5">Behalf Of <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a><br>

Sent: Monday, May 5, 2014 4:11 PM<br>

To: Gervase Markham; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Ballot 121 - EVGL Insurance Requirements<br>

<br>

Gerv - my frustration is that the proponents of keeping the current EVGL<br>

insurance requirements the same have never said "we need to keep the current<br>

insurance requirements because the insurance will cover claims from the<br>

public and customers that may arise from a CA's bad practices".  In fact,<br>

the current insurance requirements are *not* relevant at all to claims from<br>

the public and customers from a bad cert -- and no one has said they are<br>

relevant.  I ran an insurance company for 12 years, so I have some<br>

familiarity with this area.<br>

<br>

There is *no connection* between the current insurance requirements and<br>

responding to claims from the public and customers.  Does anyone on the<br>

listserv disagree with that?<br>

<br>

That's why I say the burden is on the people who want to keep the current<br>

insurance requirements to prove they are useful for protecting the public.<br>

If no one will step forward with actual, substantive information, then the<br>

requirement should go.<br>

<br>

The only true way to protect the public would be to require CAs to deposit<br>

money or securities with a third party escrow with instructions to use the<br>

money to independently investigate and pay claims...  which is not<br>

insurance.  But that would be expensive and difficult to do, and no one<br>

would support that.<br>

<br>

By the way -- the same is (generally) true for browsers -- you don't have<br>

insurance that would directly respond to claims from members of the public<br>

of harm they suffered from using your browser....  Whatever insurance your<br>

browser maintains is solely for the purpose of protecting you, not the<br>

public.<br>

<br>

One other point -- eliminating the (meaningless) EVGL insurance requirement<br>

does NOT eliminate any liability a CA may have to the public and to<br>

customers.  That liability would stay EXACTLY the same, so people would be<br>

mistaken in saying elimination of the insurance requirement was a way for<br>

CAs to avoid liability -- far from it, the two are entirely separate.  (If<br>

you fail to pay for auto coverage and then cause an accident, you are still<br>

personally liable for the harm you did and can be sued even though you don't<br>

have insurance.)<br>

<br>

-----Original Message-----<br>

From: Gervase Markham [mailto:<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>]<br>

Sent: Monday, May 05, 2014 1:21 AM<br>

To: Kirk Hall (RD-US); <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Ballot 121 - EVGL Insurance Requirements<br>

<br>

<br>

<br>

On 02/05/14 16:38, <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a> wrote:<br>

> Gerv (and all) -- I can already tell you that there is no other<br>

> insurance that the Forum could require that is designed to protect the<br>

> public and consumers.  So I won't be able to come up with a<br>

> replacement for the current (nonsensical) requirements for CGL and E&O<br>

> coverage, which also don't protect the public or consumers.<br>

><br>

> I would say the burden is on the proponents of keeping an insurance<br>

> requirement to come up with an alternative (but they won't be able to<br>

> do so).<br>

<br>

I think the burden is only on them to come up with an alternative if there<br>

is general agreement that the current insurance requirements are not fit for<br>

purpose. That may indeed be so, but it cannot be established as so by<br>

assertion.<br>

<br>

> In the meantime, we should eliminate the current requirement, which<br>

> has no meaning.  In the one case we know of where insurance might have<br>

> made a difference to customers (Diginotar), we know the insurer denied<br>

> all coverage because of Diginotar's bad acts, and the Dutch bankruptcy<br>

> court agreed with the insurer -- no coverage at all to respond to<br>

> claims.  What other information do we need?<br>

<br>

This argument only holds if you think that, in the same position, every CA<br>

would behave like Diginotar did. Do you believe that?<br>

<br>

> This doesn't affect my company -- we don't even have to buy insurance<br>

> under the rules -- but the current rule is very unfair to CAs outside<br>

> the US, and is really just a pointless barrier for many new CAs.<br>

<br>

We are all for eliminating barriers to entry.<br>

<br>

I think there's a lot of potential support in the Forum for your position;<br>

it just needs the case made a little more carefully.<br>

<br>

The message that abolishing these requirements could send is: "CAs admit<br>

that if something goes wrong, it's not their problem". The way to avoid<br>

sending that message is having a good, written case for why they would never<br>

or very rarely help, and why the cons of their existence outweigh the pros.<br>

<br>

One question which may be relevant (although there may be reasons we can't<br>

talk about it): how much do CAs have to pay for insurance to meet this<br>

requirement, that is over and above the insurances they already have or<br>

would choose to have? I know you said for you it's $0.<br>

<br>

Gerv<br>

<br>

<table class="TM_EMAIL_NOTICE"><tr><td><pre><br>

TREND MICRO EMAIL NOTICE<br>

The information contained in this email and any attachments is confidential<br>

and may be subject to copyright or other intellectual property protection.<br>

If you are not the intended recipient, you are not authorized to use or<br>

disclose this information, and we request that you notify us by reply mail<br>

or<br>

telephone and delete the original message from your mail system.<br>

</pre></td></tr></table><br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

<br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

</div></div></blockquote></div><br></div>