<div dir="ltr">I would say countless companies have spent millions of dollars due to misissued certificates.<div><br></div><div>In either event, I think the suggestion of increasing liability needs only look at the way in which CAs use the liability requirements to attempt to impose privacy-harming or unreasonable expectations (such as manual examination of the certificate chain, as I have seen required in CP/CPSes). I certainly don't think we should be increasing it - especially given that it is a tiger-repelling rock.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 23, 2017 at 1:37 PM, Phillip <span dir="ltr"><<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_5719783925238253104WordSection1"><p class="MsoNormal">Has anyone ever established a loss as a result of a mis-issued certificate?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">The point of insurance is that an insurer is like an auditor except that they have skin in the game. An auditor rarely suffers as a result of a negligent audit. Arthur Andersen survived Sunbeam, DeLorean and numerous others before Enron sunk them. An insurer is required to back their assessment of risk with actual dollars.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Nothing gives perfect security but insurance is a tool we need to learn how to use as an industry.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt"><div><div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b>From:</b> Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@<wbr>cabforum.org</a>] <b>On Behalf Of </b>Ryan Sleevi via Public<br><b>Sent:</b> Monday, October 23, 2017 11:26 AM<br><b>To:</b> Gervase Markham <<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>><br><b>Cc:</b> CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>>; Virginia Fournier <<a href="mailto:vfournier@apple.com" target="_blank">vfournier@apple.com</a>><span class=""><br><b>Subject:</b> Re: [cabfpub] Limitation of Liability and Indemnification<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Mon, Oct 23, 2017 at 10:54 AM, Gervase Markham <<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>> wrote:<u></u><u></u></p><div><div class="h5"><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal"><span class="m_5719783925238253104gmail-">On 23/10/17 14:55, Ryan Sleevi wrote:</span><br><span class="m_5719783925238253104gmail-">> I don't believe this is correct or supported by fact, Gerv, nor</span><br><span class="m_5719783925238253104gmail-">> supported by the limits of liability if you review CA's CP/CPS.</span><br><br>I'm not sure what you mean. If you mean the limits I'm suggesting are<br>currently not offered by CAs, well of course they aren't.<u></u><u></u></p></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">No, I mean both with respect to the misissuance of EV (I can think of several CAs that have done so) and to the terms of claiming liability (I encourage you to read the CP/CPSes of those who have).<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I'm curious whether there has ever been a successful claim of liability. Certainly, the claims of insurance to date have been rejected.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal"><span class="m_5719783925238253104gmail-">> We are very much opposed to increasing liability, and I'm surprised to</span><br><span class="m_5719783925238253104gmail-">> see Mozilla advocating it, given its past votes to abolish liability</span><br><span class="m_5719783925238253104gmail-">> requirements from EV given the practical challenges they face. </span><br><br>Reminder?<br><br>You mean Google sees CA liability for misissuance as a paper tiger?<u></u><u></u></p></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Ballot 141 - <a href="https://cabforum.org/2015/01/19/ballot-141-elimination-ev-insurance-requirement-financial-responsibility-mis-issued-certificates/" target="_blank">https://cabforum.org/2015/<wbr>01/19/ballot-141-elimination-<wbr>ev-insurance-requirement-<wbr>financial-responsibility-mis-<wbr>issued-certificates/</a> - and Ballot 142 - <a href="https://cabforum.org/2015/01/19/ballot-142-elimination-ev-insurance-requirement/" target="_blank">https://cabforum.org/2015/<wbr>01/19/ballot-142-elimination-<wbr>ev-insurance-requirement/</a><u></u><u></u></p></div></div></div></div></div></div></div></div></div></blockquote></div><br></div>