Résumé
- Les certificats RPKI et les objets signés n'acheminent pas les paquets, mais ils peuvent modifier l'état de validation sur lequel les réseaux appliquent leur politique de routage. Lorsqu'un registre contrôle les clés hébergées, la délivrance, la révocation et la publication des certificats, ses actions peuvent avoir des conséquences opérationnelles au-delà de la simple tenue de registres.
- Les clauses de non-responsabilité générales ont des objectifs légitimes. Les registres ne peuvent pas contrôler les choix de ROA d'un titulaire, chaque validateur, la politique de filtrage de chaque réseau, tous les chemins BGP ou la continuité d'activité d'un client. Les services gratuits ou financés par les membres ne peuvent pas non plus raisonnablement assurer l'Internet contre des pertes indirectes illimitées.
- La répartition actuelle peut néanmoins être très asymétrique. Les conditions publiées par ARIN pour le RPKI excluent interruption, inexactitudes et erreurs, excluent largement les dommages et fixent un plafond global bas; les conditions actuelles du RIPE NCC fournissent le service au mieux et excluent la plupart des dommages sauf faute intentionnelle ou négligence grave; la déclaration de certification publiée par APNIC place de même un risque substantiel sur les abonnés et les tiers utilisateurs.
- Ces clauses s'appliquent sous différentes lois, accords et modalités de service. Leur formulation est la preuve d'une répartition institutionnelle des risques, pas une conclusion que chaque clause est opposable à chaque titulaire, opérateur ou client en aval.
- Un audit des clauses de non-responsabilité du service de certification doit distinguer les erreurs du titulaire, les erreurs de traitement du registre, les actions non autorisées sur les certificats, les échecs de publication, les défauts du validateur et la politique de l'opérateur. La responsabilité doit suivre l'étape contrôlée et la faute prouvée.
- Le premier recours en cas de certificat erroné n'est pas financier mais une correction rapide et authentifiée, un état préservé avant l'incident, un avis public au niveau de l'objet et une convergence vérifiée entre des validateurs indépendants. La responsabilité financière devient pertinente lorsque ces contrôles échouent ou qu'une perte documentée subsiste.
- La NRS peut contribuer positivement en rendant comparables, pour les détenteurs de ressources, les conditions exactes des RIR, les droits d'urgence, les exceptions de responsabilité et les recours pratiques. Un examen collectif est plus utile que d'affirmer soit que les registres doivent assurer tout le routage, soit que le pouvoir des certificats n'entraîne aucune responsabilité.
Un certificat ne déplace pas le trafic, mais il peut changer qui le reçoit
Le débat juridique sur le RPKI commence souvent par une phrase techniquement correcte mais s'arrête trop tôt. Un registre régional n'exploite pas chaque routeur qui se fie à ses certificats. Une ROA est une autorisation, pas une annonce de route. Un tiers utilisateur valide les objets, un routeur applique la politique locale, et BGP sélectionne les chemins. Le registre n'active ou ne désactive donc pas directement le trafic client.
Pourtant, le service de certification n'est pas sans lien de causalité. Si une autorité de certification hébergée délivre ou révoque un certificat, ou publie une ROA différente de l'instruction autorisée du titulaire, les tiers utilisateurs peuvent produire un ensemble de charges utiles validées différent. Une annonce BGP légitime peut devenir Invalide. Les réseaux configurés pour rejeter les annonces Invalides peuvent alors cesser de l'accepter. L'action institutionnelle n'est pas la dernière étape, mais elle peut être la première étape fautive dans une chaîne traçable.
Cette distinction est importante pour la responsabilité. Un pouvoir n'a pas besoin d'être physiquement immédiat pour créer un devoir de diligence dans son champ. Un registraire de titres ne déplace pas l'argent de chaque investisseur; un fournisseur de données de navigation aérienne ne pilote pas un avion. Leurs obligations légales exactes diffèrent, mais aucun ne peut répondre à une erreur de donnée prouvée en se contentant de pointer la décision de l'utilisateur final.
Le RPKI doit être analysé avec la même précision. Le titulaire contrôle l'intention de routage déclarée. Le registre ou une autre autorité de certification contrôle les parties de la délivrance et de la publication. Le mainteneur du tiers utilisateur contrôle la logique de validation. L'opérateur contrôle la politique de filtrage et la résilience du réseau. Le client contrôle certains choix de continuité d'activité. La responsabilité ne doit pas être attribuée à un entité par défaut, mais elle ne doit pas non plus s'évaporer parce que plusieurs entités sont impliqués.
La question contractuelle clé est de savoir si chaque partie supporte les conséquences des risques qu'elle peut raisonnablement prévenir, détecter ou réparer. Les conditions qui réservent un contrôle étendu des certificats tout en transférant tous les risques associés vers l'extérieur échouent à ce test institutionnellement, même si un tribunal pourrait appliquer un libellé particulier dans un litige spécifique.
Le RPKI hébergé concentre des pouvoirs que la simple tenue de registres n'a pas
Dans un service hébergé, le registre exploite généralement l'autorité de certification pour le compte du titulaire de ressources. Il authentifie l'accès via ses systèmes membres, génère ou détient le matériel de clé pertinent, délivre les certificats de ressources, crée et révoque les objets signés selon les instructions du titulaire, et publie le matériel résultant. Le titulaire bénéficie de la commodité et évite d'exploiter un service de certification et de publication disponible en continu.
Cet arrangement résout un véritable problème d'adoption. De nombreux réseaux ne disposent pas du personnel de sécurité, du matériel, de la surveillance et de la maturité opérationnelle nécessaires pour gérer les clés et la publication 24 heures sur 24. Une prestation centralisée peut améliorer la cohérence, les correctifs et le support. Elle peut aussi rendre le RPKI accessible aux petites organisations.
La concentration a un prix. Un défaut du registre, un compromis de compte, une mise à jour erronée des ressources, un processus de transfert défectueux ou une erreur de publication peut affecter plusieurs titulaires à la fois. Le titulaire peut être incapable de corriger l'objet indépendamment parce que le registre contrôle la clé hébergée et l'interface utilisateur. Même lorsque le titulaire peut demander une modification, le service contrôle quand cette demande devient un objet externe valide.
Les conditions actuelles du RIPE NCC énoncent clairement cette division: pour la certification hébergée, il est responsable des opérations cryptographiques et héberge la paire de clés publique et privée du titulaire du certificat. Son service peut délivrer ou révoquer des certificats et créer, modifier ou supprimer des objets signés. ARIN fournit également un RPKI hébergé dans le cadre de ses conditions de service publiées. Ce ne sont pas de simples tableaux d'affichage passifs.
Le pouvoir institutionnel doit être défini à ce niveau opérationnel. Le registre ne contrôle pas la politique de routage en aval, mais il contrôle si l'autorisation d'un titulaire peut être validée cryptographiquement sous sa branche. Une clause de non-responsabilité équitable peut rejeter la responsabilité pour le premier tout en acceptant une norme appropriée pour le second.
Une certaine limitation de responsabilité est raisonnable et nécessaire
Une autorité de certification RPKI ne peut pas devenir l'assureur de toute activité commerciale qui dépend d'un préfixe IP. Une brève interruption de routage pourrait être alléguée comme causant une perte de revenus publicitaires, des transactions financières manquées, des engagements cloud violés, un préjudice de réputation et des départs de clients à plusieurs niveaux contractuels. L'exposition qui en résulterait pourrait dépasser les ressources d'une organisation à but non lucratif financée par ses membres de plusieurs ordres de grandeur.
La causalité est également complexe. Une ROA erronée peut provenir du titulaire. Un opérateur peut ignorer un état Invalide ou le rejeter. Un fournisseur de transit peut avoir une fuite de route distincte. Un validateur peut être obsolète. Un client peut manquer de multi-hébergement ou d'une autre mesure de continuité. Le même événement de certificat peut ne produire aucun changement d'accessibilité dans un réseau et une panne grave dans un autre.
Les clauses de non-responsabilité protègent l'institution partagée contre des réclamations indéterminées et préservent un service abordable. Exclure les dommages indirects, spéculatifs ou punitifs peut être défendable. Exiger des utilisateurs qu'ils valident les objets en cours et utilisent un logiciel approprié est sensible. Limiter l'utilisation à l'objectif pour lequel les certificats de ressources ont été conçus empêche le certificat de devenir une garantie non intentionnelle d'identité, de titre de propriété, de performance de route ou de valeur commerciale.
Les normes RPKI elles-mêmes anticipent une répartition juridique. La RFC 3647 traite les accords avec les abonnés et les tiers utilisateurs comme des instruments importants pour les droits et obligations, et son cadre comprend des clauses de non-responsabilité de garantie, des limitations des dommages récupérables et des plafonds de responsabilité. Elle ne prescrit pas la même réponse pour chaque autorité de certification. La RFC 6484 exige que les pratiques de chaque autorité expliquent les contrôles pertinents tout en reconnaissant que la confiance doit être raisonnable dans son contexte.
L'objection de gouvernance n'est donc pas à chaque exclusion. Elle est à une répartition si large que l'institution peut contrôler la délivrance, commettre une erreur évitable, retarder la correction et quand même décliner pratiquement toute conséquence significative. La limitation doit préserver le service; elle ne doit pas supprimer l'incitation à effectuer le service avec compétence.
L'audit commence par tous les documents gouvernants, pas par une seule page de non-responsabilité
Un opérateur ne peut pas comprendre sa position RPKI en lisant uniquement une page de conditions générales. Les droits et obligations peuvent être répartis entre l'accord de service de certification, les conditions du référentiel, la déclaration de pratiques de certification, l'accord d'enregistrement, l'accord d'adhésion, les règles d'utilisation acceptable, la publication du niveau de service, les documents de politique et les modifications ultérieures.
Les relations diffèrent également. Un titulaire de ressources utilisant le RPKI hébergé peut avoir un accord direct avec le registre. Une autorité de certification déléguée peut accepter des conditions de provisionnement ou de publication distinctes. Un tiers utilisateur téléchargeant du matériel public peut être soumis aux conditions du référentiel appliquées par l'accès. Un opérateur en aval peut utiliser des charges utiles produites par une autre organisation. Un client de détail dont le service est interrompu peut n'avoir aucun accord du tout avec le registre.
L'audit doit identifier la version exacte du document applicable à la date de l'incident. Les conditions du RPKI peuvent changer. La méthode d'acceptation est importante: signature, acceptation par clic, incorporation par adhésion, utilisation continue ou simple téléchargement. Le droit applicable, le for, le délai de prescription et la voie de résolution des litiges comptent autant que le plafond substantiel.
Les engagements opérationnels peuvent se trouver en dehors du contrat. Une page de statut publique peut publier des niveaux de service ou des avis d'incident sans créer de garantie exécutoire. Une déclaration de pratiques de certification peut décrire les contrôles de sécurité et de révocation tout en déclarant que les conditions formelles prévalent. La différence entre une pratique publique et une promesse contractuelle doit être explicite.
Enfin, l'audit cartographie les documents par rapport aux pouvoirs. Quel texte autorise la révocation du certificat? Quel texte attribue la responsabilité du titulaire pour le contenu de la ROA? Quel texte couvre une vue obsolète du référentiel? Quelle clause traite de la négligence du personnel du registre ou du logiciel? Quel recours est disponible pour un tiers utilisateur plutôt que pour un membre?
Cette cartographie des documents empêche une lecture sélective. Un fournisseur ne doit pas citer la clause de responsabilité du titulaire sans ses propres engagements opérationnels. Un demandeur ne doit pas citer une pratique de sécurité comme si elle garantissait chaque route. La responsabilité émerge de la relation complète et de la défaillance prouvée.
Les conditions publiées par ARIN rendent l'asymétrie particulièrement visible
Le contrat de conditions d'utilisation du RPKI d'ARIN, version 1.1 datée du 17 avril 2019, offre un exemple clair de transfert institutionnel des risques. L'accord décrit le RPKI comme un cadre de sécurité émergent, énumère les risques, y compris la compromission des clés, et stipule que l'utilisateur supporte les risques liés à l'accès ou à l'utilisation autorisée et non autorisée.
Sa section de non-responsabilité indique que le service et la certification des ressources sont fournis en l'état avec les risques et défauts associés. Elle exclut toute promesse que le service sera ininterrompu, exempt de défauts, d'inexactitudes ou d'erreurs, répondra aux exigences de l'utilisateur, ou fonctionnera avec la configuration choisie par l'utilisateur. Elle exclut ensuite largement les responsabilités et les dommages liés aux services RPKI, y compris les réclamations impliquant des clients ou des utilisateurs finaux.
Le plafond de responsabilité global déclaré est le plus élevé entre le montant payé pour les services RPKI au cours des six mois précédents et 100 USD. L'accord contient également une obligation d'indemnisation large en faveur d'ARIN pour les réclamations liées à l'utilisation ou à l'accès par l'utilisateur et les parties associées, sous réserve du libellé complet.
Ces dispositions sont commercialement saisissantes parce qu'ARIN occupe simultanément le rôle de certification pour le service hébergé. Si un défaut évitable d'ARIN générait un certificat incorrect ou ne parvenait pas à publier une correction autorisée, le texte semble conçu pour rendre un recours substantiel difficile même lorsque la conséquence sur le routage était prévisible. L'application de chaque disposition dépend des faits, du droit applicable et de la relation du demandeur; la répartition institutionnelle est néanmoins évidente.
ARIN a des raisons rationnelles de protéger un registre à but non lucratif contre des pertes Internet illimitées. La question d'audit est plus étroite: un plafond nominal et une exclusion large restent-ils proportionnés lorsque la défaillance alléguée relève entièrement du contrôle propre du certificat par ARIN, plutôt que de l'intention du titulaire, d'un logiciel tiers ou de la politique de l'opérateur?
Une réponse mature distinguerait ces cas. Le langage actuel est beaucoup plus large que cette distinction basée sur le contrôle.
Le changement d'accès d'ARIN rend l'acceptation et la portée plus importantes, pas moins
En juin 2024, ARIN a annoncé que les clients disposant de ressources directement détenues dans le cadre d'un RSA ou d'un LRSA pouvaient utiliser le RPKI sans acceptation explicite des conditions RPKI distinctes dans ARIN Online. Ce changement a réduit un obstacle à l'adoption. Il rend également la cartographie documentaire plus importante pour l'examen des risques.
Un opérateur doit maintenant se demander quelles dispositions RPKI s'appliquent via son accord d'enregistrement, lesquelles restent pertinentes séparément, et quel acte constitue une acceptation. L'annonce elle-même ne répond pas à l'opposabilité ou à la portée de chaque clause dans un litige futur. La suppression d'un clic supplémentaire ne supprime pas nécessairement les limitations substantielles incorporées ailleurs.
Ce n'est pas une critique de l'accès simplifié. Les services de sécurité bénéficient de la réduction des frictions juridiques évitables qui pourraient freiner le déploiement. Le risque est qu'un enrôlement plus simple rende les responsabilités moins visibles. Un titulaire de ressources peut créer des ROA sans avoir comparé le plafond de responsabilité, la voie de correction d'urgence, les dispositions sur la faillite et les obligations de compte qui façonnent son recours pratique.
ARIN peut résoudre une grande partie de ce problème par une déclaration concise spécifique au service, affichée avant l'activation et conservée par version. Elle doit identifier les accords contrôlants, la responsabilité exacte pour les données saisies par le titulaire, les certificats produits par ARIN et la publication, la voie de correction, le plafond et les exceptions. Un utilisateur ne devrait pas avoir besoin d'un litige pour découvrir quel document régissait.
La même clarté profite à ARIN. Elle réduit les allégations selon lesquelles des exclusions importantes étaient cachées et permet à l'organisation de montrer quels risques le titulaire a délibérément conservés. La transparence n'est pas un aveu de devoir illimité. C'est la preuve qu'un service partagé important a été entrepris avec des attentes éclairées.
Les conditions du RIPE NCC acceptent une exception étroite pour faute mais conservent une large protection
Les conditions d'utilisation du service de certification du RIPE NCC en vigueur en juin 2026 définissent une autorité de certification hébergée comme celle dans laquelle le RIPE NCC est responsable des opérations cryptographiques et héberge la paire de clés du titulaire. Le service délivre ou révoque des certificats et crée, modifie ou supprime des objets signés. Les conditions avertissent également les titulaires qu'une ROA incompatible avec l'intention de routage peut entraîner le rejet des annonces.
Le service est déclaré disponible au mieux, et le RIPE NCC se réserve des pouvoirs de suspension opérationnelle pour des raisons techniques, juridiques, de lutte contre les abus et autres raisons énoncées. Sa section sur la responsabilité place l'utilisation aux risques du titulaire et rend le titulaire responsable de l'utilisation du service et du certificat.
Le RIPE NCC exclut ensuite les dommages, y compris la perte d'activité, la perte de profit, les dommages à des tiers, les dommages corporels et matériels, sauf en cas de faute intentionnelle ou de négligence grave de sa part. Il exclut les circonstances de force majeure spécifiées, exige que le titulaire l'indemnise contre les réclamations de tiers liées à l'utilisation du titulaire, et prévoit un délai d'un an après la prise de connaissance pour les droits liés à la génération, au remplacement et à l'utilisation du certificat.
Les conditions distinctes du référentiel appliquent une répartition des risques aux utilisateurs téléchargeant du matériel hébergé. Elles placent l'accès et l'utilisation aux risques de l'utilisateur, attribuent à l'utilisateur la responsabilité des décisions fondées sur des données obsolètes, et préservent de même une exception pour faute intentionnelle ou négligence grave.
Ce modèle n'est pas identique à celui d'ARIN. L'exception expresse pour faute est importante, et le cadre juridique diffère. Pourtant, la même tension structurelle demeure: une autorité hébergée contrôle les clés et la publication tandis que la plupart des conséquences d'une négligence ordinaire peuvent être difficiles à recouvrer si le seuil est la négligence grave.
L'audit doit donc se demander quel comportement répond à l'exception en vertu du droit applicable, quelles preuves les utilisateurs peuvent obtenir, et si le recours en correction d'urgence fonctionne avant qu'un litige financier ne devienne pertinent.
APNIC place de même un risque substantiel sur les abonnés et les tiers utilisateurs
La déclaration de pratiques de certification RPKI publiée par APNIC décrit les arrangements de certification hébergée et auto-hébergée, les cycles de vie des certificats, les rôles de confiance, la protection des clés, la publication et l'utilisation par les tiers. Elle contient également un langage juridique opérationnel concernant la responsabilité.
La déclaration place le téléchargement du référentiel, l'accès aux données et l'utilisation du service aux risques du tiers utilisateur. Elle rend l'abonné responsable de l'utilisation du certificat et de la création d'objets signés. APNIC exclut les dommages directs et indirects, y compris les pertes d'activité et de tiers, sauf en cas de faute intentionnelle de sa part. Elle attribue aux tiers utilisateurs la responsabilité des décisions fondées sur du matériel autre que les instances les plus récemment publiées et inclut une protection de force majeure et un délai de réclamation d'un an.
Le document indique également que les tiers utilisateurs doivent vérifier les informations de révocation et utiliser la version la plus récente du référentiel, tandis que la disponibilité du référentiel est au mieux. Ce sont des obligations opérationnelles rationnelles. Le cas plus difficile est celui où l'instance la plus récemment publiée est elle-même erronée en raison d'une erreur contrôlée par APNIC, ou lorsque le service empêche le titulaire de publier une correction en temps utile.
Là encore, le libellé n'est pas le résultat. Le droit du Queensland, la relation exacte entre les entités et les faits de l'incident façonneraient toute analyse juridique. La déclaration d'APNIC est néanmoins une preuve précieuse de la façon dont le risque est réparti: l'abonné et le tiers utilisateur assument une large responsabilité, tandis qu'APNIC conserve une exception étroite pour sa propre faute intentionnelle.
La comparaison avec le RIPE NCC montre que des structures similaires se répètent sans être textuellement identiques. Cela devrait soulever des questions d'audit communes, pas une affirmation que chaque région a un seul contrat. Cela montre aussi pourquoi les opérateurs ne peuvent pas se fier à une hypothèse générique selon laquelle un registre assume les conséquences économiques de son service de certificat.
Il n'existe pas de régime unique de responsabilité des RIR
Les registres régionaux sont constitués en vertu de lois différentes, servent des structures d'adhésion différentes et publient différentes combinaisons d'accords et de déclarations de certification. Les registres nationaux et les autorités déléguées ajoutent d'autres couches. Même des clauses similaires peuvent fonctionner différemment selon l'acceptation, le contexte de négociation, les contrôles légaux et le type de perte réclamée.
L'examen dans cet article d'ARIN, du RIPE NCC et d'APNIC ne fournit pas un inventaire complet de chaque autorité ou version historique. Il identifie des caractéristiques récurrentes de répartition des risques dans les documents publics actuels: service au mieux, responsabilité de l'utilisateur, exclusions larges de dommages, délais de réclamation courts, indemnités et exceptions étroites pour faute.
L'absence de décision de justice publiée appliquant une clause RPKI particulière ne prouve ni l'immunité ni la responsabilité. De nombreux incidents ne produisent aucune perte, sont réparés rapidement, restent confidentiels ou sont résolus commercialement. Les doctrines sur la perte économique, les limites à l'exclusion pour faute grave, les devoirs envers les tiers et les recours collectifs des membres varient.
La politique doit donc résister à deux affirmations globales. La première est que les registres ne peuvent être responsables parce que les opérateurs prennent les décisions finales de routage. La seconde est que tout certificat erroné rend automatiquement un registre responsable de toutes les pertes en aval. Les deux ignorent le contrôle, la faute, la causalité, le contrat et la loi.
Un audit comparatif peut néanmoins être standardisé. Il peut rapporter les pouvoirs de certificat du fournisseur, le niveau de service déclaré, les obligations de l'utilisateur, les exclusions de garantie, les exclusions de dommages, le plafond, les exceptions pour faute, les indemnités, le délai de réclamation, le droit applicable, le recours d'urgence et la position des tiers. Les champs sont communs même si les effets juridiques ne le sont pas.
C'est le rôle approprié de l'analyse institutionnelle: rendre la répartition visible, identifier l'asymétrie et laisser les conclusions juridiques finales au forum compétent avec les faits réels.
« Certificat erroné » décrit plusieurs défaillances avec des responsabilités différentes
Un certificat de ressources peut être erroné parce qu'il liste des ressources non conformes à l'état d'enregistrement faisant autorité. Un certificat enfant peut temporairement revendiquer trop de ressources après un changement d'un parent. Un certificat peut être révoqué sans autorisation appropriée. Il peut ne pas être renouvelé, devenir indisponible, ou être valide individuellement mais incompatible avec l'ensemble publié. Une ROA peut refléter avec précision une instruction erronée du titulaire, ou refléter inexactement une instruction correcte.
Ces cas ne devraient jamais partager une seule règle de responsabilité. Le contenu créé par le titulaire appartient principalement au titulaire si le service a clairement affiché ce qui allait être signé et a exécuté fidèlement la demande autorisée. Le registre reste responsable de l'authentification sécurisée et de l'exécution précise, mais il ne devrait pas garantir le plan de routage du titulaire.
L'incohérence produite par le registre est différente. Si un processus de transfert met à jour les certificats parent et enfant dans un ordre non sécurisé, le titulaire peut n'avoir fourni aucune instruction erronée. L'autorité de certification contrôle le séquencement et l'atomicité. Une clause large disant que le titulaire est responsable de l'utilisation du certificat ne devrait pas occulter ce contrôle technique.
L'action non autorisée est encore différente. Un compromis de compte peut impliquer les pratiques d'identification du titulaire, les contrôles d'authentification du registre, ou les deux. La répartition doit examiner quelle sauvegarde a échoué et si chaque partie a suivi la norme publiée.
Le retard de publication a sa propre structure. Un objet correct peut exister mais rester indisponible pour les tiers utilisateurs. L'éditeur contrôle la livraison externe; les validateurs contrôlent le comportement de récupération; les opérateurs contrôlent le cache et la politique de routage. Le temps jusqu'à l'expiration et la correction affecte la perte.
L'audit des clauses de non-responsabilité doit lister ces modes de défaillance et attacher une règle de responsabilité à chacun. Une phrase unique telle que « utilisation à vos risques » comprime des contrôles distincts en un seul transfert externe. Cela peut simplifier la défense juridique, mais cela affaiblit la responsabilité opérationnelle.
La causalité doit suivre la première divergence fautive
Une réclamation RPKI peut être analysée comme une comparaison ordonnée dans le temps entre l'état attendu et l'état observé. L'état attendu commence par l'instruction authentifiée du titulaire et l'enregistrement de ressources applicable. L'état observé progresse à travers la production du certificat, la création de l'objet signé, la publication dans le référentiel, la validation par le tiers utilisateur, la livraison RTR, la politique du routeur et le résultat BGP.
Le premier point auquel l'état observé diverge de manière fautive est la cause technique principale. Si le titulaire a demandé AS64500 alors qu'il voulait AS64501, la divergence commence par l'instruction du titulaire. Si la demande était correcte mais que le service a créé un objet différent, la divergence commence à la certification. Si l'objet était correct mais n'est jamais devenu disponible en externe, la divergence commence à la publication. Si tout le matériel publié était valide mais qu'un validateur l'a rejeté incorrectement, la divergence commence dans le logiciel du tiers utilisateur.
Cette méthode n'élimine pas les causes contributives. Un opérateur peut ne pas surveiller un état Invalide ou exécuter un seul validateur sans redondance. Un fournisseur de transit peut appliquer une politique de route plus stricte que prévu. Un registre peut retarder une correction d'urgence après une erreur du titulaire. La responsabilité peut être partagée.
La méthode empêche le blâme circulaire. Chaque entité peut produire des preuves pour son étape: demande signée, condensé d'objet, observation de publication, journal de validation, série RTR, version de politique de route et enregistrement BGP. Les heures doivent utiliser des horloges contrôlées, et les preuves doivent être conservées avant que la réparation ne modifie l'état.
La causalité juridique inclut des questions au-delà de cette séquence technique, notamment la prévisibilité, le caractère indirect et la portée contractuelle. Mais un tribunal, un assureur ou un examen par les membres ne peut y répondre de manière sensée sans savoir d'abord où le système s'est écarté de l'état autorisé.
Le contrat de service devrait promettre l'accès à ces preuves sous une confidentialité appropriée. Une exception de responsabilité qui exige la preuve d'une négligence grave est creuse si le fournisseur contrôle les seuls documents capables de montrer ce qui s'est passé.
L'incident du RIPE NCC en 2021 est un cas concret de contrôle, pas une preuve de perte universelle
Le rapport post-mortem du RIPE NCC de janvier 2021 indiquait qu'un transfert interrégional sortant avait amené son système à publier un certificat parent mis à jour avant le certificat enfant correspondant. L'enfant a temporairement revendiqué trop de ressources. Certaines implémentations plus anciennes de tiers utilisateur ont réagi en rejetant tous les certificats du manifeste si une entrée était invalide.
L'organisation a estimé que 327 instances de tiers utilisateur ont été affectées et a indiqué que l'événement pourrait avoir entraîné des pannes. Elle a proposé un séquencement plus strict, une réémission plus rapide et finalement une publication atomique. Le compte rendu identifie une défaillance de production contrôlée par le registre et une amplification spécifique au validateur.
C'est exactement le type de cas qu'un audit des clauses de non-responsabilité devrait tester. Le titulaire de ressources n'a pas nécessairement créé une ROA erronée. Le processus de certification a produit une incohérence temporaire. Les validateurs plus anciens ont étendu la portée affectée. Les politiques réseau ont déterminé si la perte de charge utile modifiait l'accessibilité. Plusieurs contrôles comptaient, mais la première divergence était dans le séquencement de la publication des certificats.
Les preuves publiques n'établissent pas le montant des pertes clients, l'identité des réseaux affectés ou l'opposabilité d'une clause. Elles ne doivent pas être utilisées pour inventer des dommages. Elles établissent la prévisibilité: des défauts de séquencement des certificats peuvent se propager dans les référentiels publics, les validateurs peuvent réagir différemment, et une conséquence sur le routage est possible.
Après un tel événement, une clause au mieux peut expliquer pourquoi une continuité absolue n'a jamais été promise. Elle ne répond pas à la question de savoir si le fournisseur a respecté la diligence appropriée pour une autorité hébergée, si la surveillance aurait dû détecter la chaîne incohérente, ou si les parties affectées ont reçu un recours suffisamment rapide.
La réponse institutionnelle appropriée est un examen basé sur le contrôle, pas un slogan. L'évolution du RIPE NCC vers l'atomicité a été précieuse car elle a réduit la cause. La conception du contrat devrait renforcer cette incitation technique.
L'incident d'ARIN en 2025 montre qu'un périmètre étroit peut encore exposer un défaut important
Le rapport d'incident public d'ARIN d'octobre 2025 a suivi le déploiement du support des ROA pendant les transferts. ARIN a indiqué qu'un signalement client avait révélé un problème affectant le RPKI hébergé, a suspendu les transferts en cours, a examiné le service et a constaté qu'un client était affecté dans une condition de configuration ROA spécifique. Il a déployé une correction et ajouté des étapes de validation.
L'avis est correctement limité. Un client affecté n'est pas la preuve d'une défaillance régionale. Le rapport ne quantifie pas la perte de routage ni ne dit que toutes les annonces associées sont devenues inaccessibles. Il montre qu'un défaut logiciel dans une fonctionnalité de transfert contrôlée par le registre peut affecter l'état ROA d'un client hébergé.
L'incident soulève des questions contractuelles pratiques. Le client disposait-il d'une voie d'urgence pour authentifier le problème pendant que le traitement du transfert était suspendu? L'état ROA avant transfert était-il conservé? Le client pouvait-il prouver quand la sortie hébergée a divergé de la configuration attendue? La répartition de la responsabilité distinguait-elle une erreur du titulaire du défaut logiciel déployé qu'ARIN a ensuite corrigé?
ARIN a conseillé aux organisations sources de vérifier la validité des ROA avant et après les transferts et, dans la mesure du possible, de modifier les ROA associés au préalable. C'est une pratique prudente pour le titulaire. Cela ne transfère pas la paternité du défaut logiciel au titulaire. Les deux affirmations peuvent être vraies: les utilisateurs doivent vérifier les changements critiques, et les opérateurs de services doivent être responsables de la diligence raisonnable dans les fonctionnalités qu'ils contrôlent.
Un terme bien équilibré dirait précisément cela. Il conditionnerait certains recours à une vérification rapide par le titulaire tout en préservant la responsabilité pour un défaut de service prouvé. L'exclusion générale est plus simple, mais elle n'aligne pas aussi bien les incitations.
Les clients subissent souvent les conséquences sans recours direct contre l'autorité de certification
La partie la plus visiblement lésée par une interruption de routage peut être un client entreprise du réseau affecté, et non le titulaire de ressources qui a accepté les conditions RPKI. Ce client peut perdre l'accès aux services cloud, aux communications ou aux systèmes accessibles au public sans avoir de contrat direct avec le registre.
Les conditions d'ARIN abordent explicitement les réclamations impliquant des clients et des utilisateurs finaux dans le cadre d'exclusions larges et d'un langage d'indemnisation. Les documents du RIPE NCC et d'APNIC répartissent également le risque des tiers vers l'extérieur. Du point de vue du registre, cela empêche une catégorie illimitée de tiers de convertir la confiance publique dans les certificats en réclamations.
Du point de vue du client, le résultat est une lacune de recours. Sa réclamation repose généralement contre son fournisseur de connectivité dans le cadre de cet accord de service. Le fournisseur peut à son tour être confronté à un plafond bas ou à une exclusion large en amont. Le risque s'accumule chez l'opérateur même lorsque la première erreur s'est produite dans un service de certificat qu'il ne pouvait pas corriger indépendamment.
Cela ne signifie pas que les clients devraient recevoir des droits directs illimités contre les registres. Une conception viable peut utiliser des chaînes contractuelles. L'opérateur indemnise son client conformément à l'accord de connectivité; le titulaire de ressources ou l'opérateur reçoit un recours proportionnel en amont s'il prouve une faute contrôlée par le registre; l'assurance couvre la perte résiduelle indirecte. Les règles de subrogation et de notification peuvent empêcher un recouvrement double.
Pour les services publics critiques, des droits opérationnels directs peuvent être plus importants que des dommages et intérêts. Un opérateur en aval authentifié devrait pouvoir signaler une erreur de certificat apparente, recevoir une confirmation d'incident circonscrite et obtenir les preuves nécessaires pour protéger le routage pendant que la relation avec le titulaire est vérifiée. Le registre n'a pas besoin d'accepter les instructions de routage du client pour écouter des preuves techniquement crédibles.
L'audit des clauses de non-responsabilité doit donc indiquer non seulement qui ne peut pas recouvrer, mais aussi comment le préjudice en aval atteint la partie capable de le corriger.
Une clause de non-responsabilité raisonnable doit passer un test de contrôle et de recours
La première question est le contrôle. Le risque exclu découle-t-il d'une action que le fournisseur contrôle exclusivement ou principalement? L'exploitation de clés hébergées, le séquencement des certificats, la publication dans le référentiel et l'authentification du service sont des domaines de fort contrôle du fournisseur. L'intention de routage du titulaire, la configuration du routeur et la continuité d'activité du client ne le sont pas.
La deuxième est la prévisibilité. Un fournisseur compétent aurait-il raisonnablement pu empêcher la défaillance grâce à des mises à jour atomiques, une validation, une séparation des tâches, une surveillance des expirations ou une restauration testée? Une protection absolue est impossible, mais des contrôles ordinaires peuvent distinguer une défaillance inévitable d'une opération déficiente.
La troisième est la détectabilité. Le fournisseur a-t-il surveillé le résultat valide en externe ou seulement ses propres composants? Un fournisseur qui ne pouvait pas voir une chaîne de certificats incohérente peut avoir un problème de gouvernance plus grave que celui qui l'a détectée et contenue immédiatement.
La quatrième est le recours. Le titulaire affecté peut-il s'authentifier via un canal d'urgence indépendant, obtenir une correction avant l'expiration matérielle ou le filtrage de route, et recevoir un avis vérifiable? Une exclusion financière large est plus défendable lorsque la correction opérationnelle est rapide et fiable.
La cinquième est la preuve. Le demandeur reçoit-il suffisamment d'informations conservées pour établir la première divergence et la contribution des autres parties? Une exception de faute sans accès aux preuves offre une protection pratique limitée.
La sixième est la proportionnalité. Le plafond a-t-il un rapport avec la perte directe prévisible, les frais de service, l'assurance ou le degré de faute du fournisseur? Un plafond nominal peut être acceptable pour une interruption ordinaire au mieux mais inadéquat pour une utilisation abusive intentionnelle ou gravement négligente du certificat. Le droit applicable peut déjà limiter les exclusions; le contrat ne doit pas compter sur un litige ultérieur pour découvrir la frontière.
Ces questions ne garantissent pas le succès du demandeur. Elles testent si la clause de non-responsabilité préserve une relation équitable entre le pouvoir institutionnel et la responsabilité institutionnelle.
La responsabilité doit être répartie par classe de défaillance
Pour le contenu de ROA créé par le titulaire, le titulaire devrait supporter la responsabilité principale lorsque l'authentification, l'aperçu et l'exécution étaient précis. Le fournisseur doit donner une représentation claire du préfixe, de l'origine et de la longueur maximale avant la signature, conserver la demande autorisée et offrir une correction rapide.
Pour les erreurs de registre qui se répercutent dans les certificats, le registre doit supporter la responsabilité de vérifier que les certificats correspondent à l'état d'enregistrement qu'il contrôle. Si l'enregistrement sous-jacent lui-même est contesté, le contrat doit prévoir une voie d'examen distincte plutôt que de traiter la conséquence de routage comme un risque utilisateur ordinaire.
Pour les défauts logiciels de certification, l'opérateur de service doit supporter une norme appropriée liée au développement, aux tests, au contrôle des modifications et à la réponse. La responsabilité peut être plafonnée pour une faute ordinaire tout en préservant des recours plus forts en cas de faute grave, de défauts connus répétés ou d'action non autorisée.
Pour les défaillances de transport du référentiel, l'éditeur doit être responsable de la disponibilité raisonnable, de l'intégrité sémantique, de la surveillance de l'actualité et de la diversité des protocoles. Les opérateurs conservent l'obligation de mettre en cache, de mettre à jour et d'exécuter des validateurs pris en charge.
Pour les défauts du tiers utilisateur, le mainteneur du logiciel et l'opérateur déployant assument la responsabilité selon leurs accords, leur statut de support et leur pratique de mise à jour. Le référentiel reste responsable d'une publication conforme aux normes et d'une communication prévisible de compatibilité.
Pour la politique de routeur, l'opérateur réseau est le propriétaire de la décision finale. Un registre ne doit pas garantir que chaque route sera acceptée. Mais la politique locale ne rompt pas la causalité lorsqu'un certificat erroné a causé de manière prévisible la classification Invalide que la politique a consommée.
Pour la perte d'activité en aval, l'accord client, l'atténuation et la preuve de l'effet direct déterminent le premier recours. Une répartition en amont doit rester possible lorsque l'opérateur prouve une faute contrôlée d'une autre partie.
Un tableau contenant ces règles ferait plus pour la légitimité que des pages d'exclusions en majuscules non différenciées.
Les premières heures de correction valent plus que des années de litige
Le préjudice de routage peut survenir bien plus rapidement qu'un litige contractuel. Le service a donc besoin d'un engagement de correction d'urgence indépendant de la responsabilité financière.
Le titulaire doit pouvoir signaler un certificat suspect, une ROA, une révocation ou une publication manquante via un canal surveillé en continu. L'authentification doit utiliser plus que le chemin de compte ordinaire au cas où ce chemin serait compromis ou indisponible. Le fournisseur doit accuser réception du signalement, identifier la branche affectée et ne geler que l'action nécessaire pour éviter d'autres préjudices.
L'étape suivante est une comparaison sécurisée de l'état attendu et publié. Si le fournisseur confirme sa propre erreur, il doit délivrer ou restaurer l'objet correct via une procédure d'urgence documentée. Si l'instruction du titulaire était erronée, le service doit faciliter un remplacement authentifié sans modifier l'historique. Si l'autorité est contestée, une retenue circonscrite peut être plus sûre qu'un transfert de contrôle non examiné.
La convergence externe doit être vérifiée. Publier une correction à l'origine ne prouve pas que des validateurs indépendants l'ont récupérée ou que les clients RTR ont mis à jour. L'incident doit rester opérationnellement ouvert jusqu'à ce qu'un ensemble de sondes défini valide la branche réparée.
Un avis signé doit identifier les condensés d'objets, les préfixes affectés et les heures sans exposer les données privées du compte. Les fournisseurs de transit et les clients peuvent alors distinguer la véritable correction des messages frauduleux. L'avis doit indiquer si l'événement a produit Invalide, Introuvable ou une autre condition sous des validateurs testés.
Ces obligations peuvent être promises même si les dommages indirects restent exclus. Elles alignent le pouvoir unique de certificat de l'institution avec le recours qu'elle seule peut fournir. Le non-respect de l'engagement d'urgence peut alors devenir une base distincte et plus défendable de responsabilité.
L'accès aux preuves détermine si les exceptions pour faute sont réelles
ARIN, le RIPE NCC et APNIC publient chacun un vaste matériel technique ou juridique, mais un incident individuel peut dépendre de preuves non publiques: authentification du compte, contenu de la demande autorisée, événements de génération de certificat, opérations de clé, heures de publication, alertes de sécurité et actions du personnel.
Le fournisseur a des raisons légitimes de protéger ce matériel. Il peut contenir des informations personnelles, des détails de sécurité ou des données concernant d'autres titulaires. Une divulgation publique complète créerait de nouveaux risques. La réponse est un accès contrôlé, pas l'absence.
Les conditions doivent exiger une conservation pendant une période définie et permettre à un titulaire affecté, un examinateur indépendant, un assureur ou une autorité compétente d'obtenir des extraits pertinents sous confidentialité. Des condensés cryptographiques et des attestations de temps peuvent prouver l'état de l'objet sans exposer chaque détail du système. Les enregistrements sensibles pour la sécurité peuvent être examinés par un expert neutre qui publie des conclusions limitées.
Les preuves doivent inclure les faits négatifs. Si aucune demande de révocation autorisée n'existe, le fournisseur doit pouvoir l'établir. Si l'objet correct a atteint le référentiel à un moment donné, des observations extérieures doivent le corroborer. Si un titulaire a ignoré des avertissements répétés concernant une ROA incohérente, ces avis comptent.
Les délais de réclamation doivent tenir compte de la découverte. Un délai d'un an après que le demandeur a connu ou aurait raisonnablement dû connaître un droit peut être gérable pour une panne visible, mais des effets cachés de certificat peuvent être découverts plus tard. Le résultat juridique exact varie; sur le plan opérationnel, les preuves ne doivent pas être détruites avant qu'une réclamation plausible puisse être examinée.
Une institution ne peut pas affirmer de manière crédible que la responsabilité existe pour négligence grave tout en retenant les enregistrements nécessaires pour distinguer la négligence grave d'un événement inévitable. L'audit doit noter les droits de preuve parallèlement au libellé de l'exception.
Les plafonds doivent encourager l'assurance et une conception de service prudente plutôt que l'aléa moral
Une responsabilité RPKI illimitée pourrait dissuader les registres d'offrir un service hébergé ou les amener à le facturer au-delà des moyens des petits réseaux. Un plafond n'est donc pas intrinsèquement illégitime. La question de conception est le comportement que le plafond encourage.
Un plafond lié uniquement à des frais de service gratuits ou groupés peut approcher zéro même lorsque le fournisseur exerce un contrôle substantiel. Cela peut créer un aléa moral: l'institution capte les bénéfices d'efficacité et de gouvernance de la centralisation tout en externalisant presque tous les inconvénients opérationnels. Un montant nominal fixe a le même problème s'il n'est pas lié au coût de réponse direct ou à la perte prévisible.
Un plafond à plusieurs niveaux est plus cohérent. Une interruption ordinaire sans faute du fournisseur peut n'entraîner aucun dommage au-delà de la restauration du service. Une négligence ordinaire dans une fonction contrôlée par le fournisseur peut entraîner un plafond significatif mais limité pour les pertes directes, peut-être lié aux cotisations, à l'assurance ou à un montant publié. La négligence grave, la faute intentionnelle, l'action non autorisée sur le certificat ou la dissimulation peuvent entraîner un plafond plus élevé ou aucune protection contractuelle dans la mesure où la loi le permet.
Les pertes indirectes peuvent rester limitées tandis que les coûts raisonnables de réponse aux incidents sont recouvrables. Un réseau peut avoir besoin d'ingénierie d'urgence, de communication client et de modifications temporaires de transit même lorsque les réclamations pour perte de profit sont trop indirectes. Ces coûts d'atténuation directs sont plus faciles à prouver et encouragent un confinement rapide.
Les registres devraient divulguer s'ils maintiennent une couverture d'assurance cyber ou responsabilité professionnelle pertinente et la grande classe de risque couverte, sans exposer les détails sensibles de la police. Les titulaires de ressources peuvent alors décider d'acheter leur propre couverture de continuité. Une assurance collective via l'adhésion peut être plus efficace que de faire comme si le risque n'existait pas.
L'objectif n'est pas un marché de dommages autour de chaque ROA. C'est de s'assurer que la partie la mieux placée pour prévenir une défaillance conserve suffisamment d'inconvénients pour investir dans la prévention.
Le RPKI délégué change le contrôle mais n'efface pas la relation parent
Un titulaire de ressources peut réduire sa dépendance aux clés hébergées en exploitant une autorité de certification déléguée. Il contrôle ses clés et ses objets signés, sous réserve de la relation de certification parent. Il peut également exécuter son propre référentiel ou utiliser un service de publication. Cela peut aligner le contrôle opérationnel avec la responsabilité pour les réseaux sophistiqués.
La délégation n'est pas une réponse universelle. Elle nécessite une gestion sécurisée des clés, des logiciels pris en charge, une surveillance, une continuité de publication, une réponse aux incidents et des compétences du personnel. Une autorité déléguée mal exploitée peut créer plus de risques qu'un service hébergé. Les petits titulaires peuvent raisonnablement préférer l'infrastructure du registre.
Le parent contrôle toujours des fonctions importantes. Il délivre le certificat enfant sur la base de la relation de ressource et peut mettre à jour ou révoquer ce certificat dans des circonstances définies. Le provisionnement entre parent et enfant peut échouer. Les transferts de ressources peuvent modifier l'ensemble certifié. Si l'autorité déléguée publie sous un référentiel exploité par le parent, le contrôle de publication reste partagé.
Les conditions doivent cartographier cette division plutôt que de déclarer que les utilisateurs délégués acceptent simplement tous les risques. Le titulaire possède sa sécurité de clé et le contenu de ses objets. Le parent possède une certification parent précise et opportune et un provisionnement dans son contrôle. Le fournisseur de publication possède le service qu'il exploite. Chacun a besoin de preuves compatibles et de contacts d'urgence.
Le choix a également besoin de portabilité pratique. Un titulaire doit pouvoir passer d'un arrangement hébergé à un arrangement délégué via une séquence testée qui évite les autorités en double ou manquantes. Si la solution de responsabilité est « faites-le vous-même » mais que la sortie du service hébergé crée une transition non sécurisée, le choix est incomplet.
Un registre mature peut offrir les deux modèles et publier leurs différentes cartes de responsabilité. Cela soutient l'autonomie de l'opérateur sans utiliser la délégation comme une renonciation à tout devoir parent.
Les modifications unilatérales des conditions nécessitent des garanties de continuité
Les conditions de service du RPKI permettent souvent une modification par avis, publication ou utilisation continue. Les fournisseurs ont besoin de cette flexibilité car les normes, le droit et les menaces de sécurité évoluent. Une autorité de certification ne peut pas rester liée pour toujours à des procédures obsolètes.
La même flexibilité peut modifier le risque après que les opérateurs ont intégré le service dans le routage critique. Un nouveau plafond, une exception de faute plus étroite, un délai de réclamation plus court ou un pouvoir de révocation plus large peuvent modifier matériellement la valeur de la confiance. Le titulaire ne peut pas toujours partir immédiatement sans déplacer les clés, les référentiels et les procédures opérationnelles.
Les modifications matérielles doivent donc recevoir un préavis clair, une comparaison des anciennes et nouvelles clauses, et une période de transition raisonnable. Les modifications de sécurité d'urgence peuvent prendre effet plus rapidement, mais doivent être de portée étroite et examinées ultérieurement. La version historique doit rester accessible afin que les droits à la date de l'incident puissent être identifiés.
Les titulaires doivent avoir une voie de sortie. Ils peuvent passer à une certification déléguée, à un autre arrangement de publication pris en charge, ou cesser les objets signés via un processus ordonné. La sortie ne doit pas créer de lacune dans l'autorisation valide simplement parce que le titulaire a refusé une nouvelle clause de responsabilité.
La gouvernance par les membres peut ajouter de la légitimité. Lorsque le registre est une association de membres, les changements majeurs concernant le contrôle des certificats et la responsabilité devraient faire l'objet d'un examen par les membres plutôt que d'être traités comme un texte de site Web ordinaire. Les communautés techniques devraient examiner les conséquences opérationnelles; un examen juridique seul peut manquer la rapidité avec laquelle un objet erroné se propage.
Le fournisseur en bénéficie également. Un amendement transparent réduit la surprise et démontre qu'un large pouvoir discrétionnaire est exercé dans le cadre d'un processus institutionnel stable. Une condition régissant une dépendance de sécurité Internet doit être gérée avec plus de soin qu'une fonctionnalité grand public de routine.
Les tribunaux ont besoin d'un dossier technique limité, pas d'une théorie de l'Internet entier
Si un litige atteint un tribunal ou un arbitrage, le demandeur ne devrait pas avoir à prouver comment chaque réseau sur Terre a traité le certificat. Il devrait prouver le chemin pertinent pour la perte alléguée: état autorisé, objet ou publication erroné, sortie du validateur, politique de l'opérateur, conséquence BGP et effet client.
Le fournisseur devrait pouvoir contester chaque maillon. La demande du titulaire était-elle exacte? Une autre ROA valide a-t-elle préservé la route? L'opérateur a-t-il utilisé un logiciel pris en charge? La route était-elle déjà indisponible pour une autre raison? Une atténuation raisonnable aurait-elle pu réduire la perte? Ce sont des questions factuelles adaptées aux preuves conservées.
Le forum devrait également distinguer la perte directe de la perte indirecte. L'ingénierie d'urgence et la perte de trafic documentée peuvent être plus proches de l'événement que les revenus futurs projetés d'un client. Le libellé du contrat et le droit applicable décident de la recouvrabilité, mais la proximité technique aide à organiser l'analyse.
Un régulateur ou un tribunal devrait être prudent quant à l'imposition d'un modèle opérationnel unique à tous les RPKI. Une responsabilité stricte pourrait supprimer des services hébergés utiles. Une immunité totale pourrait affaiblir les incitations autour d'une fonction de confiance critique. Une norme basée sur la faute et le contrôle est plus adaptable.
Une expertise indépendante sera souvent nécessaire. Les chemins de certificats RPKI, les manifestes, les caches et la politique de routage sont spécialisés. La relecture par un expert doit utiliser des objets conservés et des logiciels nommés plutôt que des captures d'écran hypothétiques. Les conflits doivent être divulgués, en particulier lorsque des experts contribuent au même logiciel ou aux mêmes institutions examinés.
Plus le dossier factuel est étroit, moins il devient tentant de décider du statut politique des ressources numériques Internet à travers un incident de routage. Une affaire de responsabilité de certificat doit répondre à la question de savoir qui contrôlait l'étape de service défaillante et quelle perte elle a causée, ne pas transformer le RPKI en un jugement de propriété universel.
La NRS peut transformer l'inquiétude collective en un audit pratique des clauses de non-responsabilité
La charte publique de la NRS préconise un enregistrement précis des ressources, la stabilité opérationnelle et des limites au pouvoir des registres. Son matériel NRS Shield oriente déjà les détenteurs de ressources vers l'identification de l'accord exact régissant la responsabilité, la suspension, la résiliation et le recours pratique. C'est un point de départ concret pour l'examen du RPKI, pas une affirmation que la NRS exploite un service de certification.
La NRS pourrait publier un registre versionné des clauses de non-responsabilité du service de certification couvrant chaque autorité régionale et nationale participante. Pour chaque modèle de service, elle listerait les pouvoirs de certificat, les obligations du titulaire, le langage au mieux, les exceptions de faute, les exclusions de dommages, le plafond, l'indemnité, le délai de réclamation, le droit applicable, la voie de correction d'urgence, l'accès aux preuves et les droits de transition.
Le registre devrait citer avec parcimonie et lier aux documents contrôlants. Les examinateurs juridiques dans chaque juridiction devraient expliquer l'incertitude plutôt que de rendre un verdict universel. Les opérateurs devraient tester si les voies d'urgence déclarées fonctionnent. Le personnel du registre devrait être invité à corriger les erreurs et à expliquer pourquoi des protections particulières sont nécessaires.
La NRS pourrait ensuite publier un référentiel de plaidoyer pour un examen public. Un service de certificat responsable n'a pas besoin d'offrir des dommages illimités. Il devrait accepter une norme appropriée pour les actions qu'il contrôle exclusivement, préserver des exceptions pour faute grave, fournir une correction rapide, conserver des preuves, publier les incidents et permettre une transition sécurisée entre les modèles de service. L'adoption et l'exécution de ce référentiel resteraient la responsabilité des RIR, des opérateurs autorisés et du forum d'examen ou juridique compétent.
L'adhésion collective peut également améliorer le pouvoir de négociation. Un petit réseau peut être incapable de négocier seul une condition régionale. Un groupe peut demander une clarification standard, des options d'assurance ou un mécanisme d'examen indépendant sans menacer la continuité du registre.
La NRS doit appliquer le même principe de transparence aux services d'adhésion et de plaidoyer qu'elle fournit réellement, y compris les limites de responsabilité dans ses propres conditions d'adhésion. Elle n'est pas une autorité de certification RPKI, un opérateur de référentiel ou un service de protection de certificat, et cet audit ne propose pas qu'elle le devienne. La délivrance de certificats, la publication, la correction d'urgence et la conservation des preuves techniques restent la responsabilité du RIR concerné, d'un opérateur de certification ou de publication autorisé, et de tout examinateur indépendant ou tribunal compétent.
Le rôle de la NRS est de rechercher et de comparer ces arrangements, de plaider pour des conditions plus claires et d'aider les membres à présenter des preuves par les canaux opérationnels et juridiques appropriés. La responsabilité institutionnelle n'est crédible que lorsque chaque institution est jugée en fonction des pouvoirs qu'elle détient réellement.
Un contrat de service de certificat équilibré peut être rédigé en langage opérationnel simple
Le fournisseur s'engage à authentifier les demandes, à exploiter les clés hébergées selon des contrôles énoncés, à délivrer des certificats conformes à l'état de ressources faisant autorité, à exécuter avec précision les modifications d'objets autorisées, à publier du matériel sémantiquement valide, à surveiller la validité externe, à conserver des preuves et à maintenir un service de correction d'urgence.
Le titulaire s'engage à protéger ses identifiants, à vérifier les informations de ressources et de routage, à examiner l'objet exact avant autorisation, à surveiller la validité externe de la route, à maintenir des contacts à jour, à signaler rapidement les erreurs et à mettre en œuvre des mesures de continuité raisonnables.
Le tiers utilisateur et l'opérateur réseau s'engagent à utiliser un logiciel de validation pris en charge, à récupérer le matériel en cours, à maintenir une redondance prudente du cache et du validateur, à comprendre la politique de routage locale, à surveiller les changements de charge utile et à conserver les preuves de routage pertinentes.
Le fournisseur ne garantit pas l'acceptation universelle des routes, l'absence de toute interruption, la valeur marchande, les performances du client, l'identité au-delà de la portée du certificat ou les faits contrôlés par le titulaire. Les pertes indirectes et spéculatives peuvent être exclues ou plafonnées.
Lorsqu'une erreur contrôlée par le fournisseur se produit, il promet une correction immédiate et un examen. Les coûts d'atténuation directs et autres dommages sont traités selon un niveau déclaré basé sur la faute. La faute grave, l'action non autorisée sur le certificat et la dissimulation reçoivent une exception claire à la protection ordinaire, sous réserve du droit applicable.
L'accord identifie qui peut soulever une urgence, comment l'identité est vérifiée, quand une réponse est due, quelles preuves sont disponibles, comment un examen indépendant commence et quelle version historique régit. Les parties en aval reçoivent une voie d'avis technique sans acquérir le pouvoir de modifier les objets du titulaire.
Aucune de ces dispositions n'exige qu'un registre promette l'impossible. Elles exigent que le contrat reflète le service réel. Lorsque le contrôle des certificats est concentré, la responsabilité du contrôle compétent des certificats est concentrée avec lui. Lorsque la politique de routage reste locale, la responsabilité de la politique de routage reste locale.
La légitimité institutionnelle dépend de l'acceptation d'une responsabilité ni plus large ni plus étroite que le pouvoir
Le RPKI est précieux parce qu'une autorisation signée peut changer la confiance avec laquelle les réseaux acceptent une origine. Cette valeur disparaît si les certificats sont traités comme sans conséquence lorsqu'ils sont erronés et comme faisant autorité lorsqu'ils sont corrects. Les institutions ne peuvent pas revendiquer le bénéfice de sécurité du contrôle tout en niant que ce même contrôle peut causer un préjudice.
Les opérateurs ne peuvent pas non plus externaliser chaque erreur. Un registre ne choisit pas la conception de routage du titulaire, ne met pas à jour les validateurs, ne configure pas les routeurs ni ne garantit la continuité du client. Une large dépendance à Internet ne fait pas du registre l'assureur de toute activité économique.
Le juste milieu commence avec la première divergence fautive. Il demande qui contrôlait cette étape, quelle norme s'appliquait, si l'erreur était évitable, à quelle vitesse elle a été détectée et corrigée, et quelle conséquence a été prouvée. La protection contractuelle peut alors être proportionnée plutôt qu'absolue.
Les conditions publiques examinées ici révèlent un déséquilibre récurrent. Les utilisateurs et les tiers utilisateurs assument un large risque, tandis que les fournisseurs conservent des protections étendues même si les services hébergés contrôlent les clés, les cycles de vie des certificats et la publication. Les exceptions pour faute dans certaines régions réduisent le déséquilibre mais ne suppriment pas la nécessité de tester le recours pratique et l'accès aux preuves.
La réforme devrait commencer sur le plan opérationnel: aperçus exacts, publication atomique, validation externe, correction d'urgence, preuves conservées et avis d'incident versionnés. Les conditions de responsabilité devraient renforcer ces contrôles par une responsabilité significative pour les fautes contrôlées par le fournisseur tout en continuant à rejeter les réclamations indirectes et illimitées.
La NRS peut aider à rendre ce compromis visible dans toutes les régions et renforcer la position collective des détenteurs de ressources sans affaiblir les registres dont ils ont besoin. La mesure du succès n'est pas le montant d'une indemnisation. C'est de savoir si l'institution détenant le pouvoir de certificat a toutes les incitations à l'utiliser avec précision, à la réparer rapidement et à l'expliquer honnêtement.
Un service de certificat gagne la confiance lorsque sa position juridique correspond à son rôle technique. Le pouvoir sans responsabilité n'est pas un ancrage de confiance stable.
Sources
- RFC 3647: Cadre de politique de certificat et de pratiques de certification pour l'Internet X.509 PKI
- RFC 6484: Politique de certificat pour le RPKI
- RFC 6483: Validation de l'origine des routes à l'aide du RPKI et des ROA
- RFC 7115: Validation d'origine basée sur le RPKI
- Conditions d'utilisation du RPKI d'ARIN
- Mise à jour d'ARIN sur l'accès au service RPKI, juin 2024
- Conditions d'utilisation du service de certification du RIPE NCC
- Conditions d'utilisation du référentiel de certification du RIPE NCC
- Déclaration de pratiques de certification RPKI d'APNIC
- Rapport post-mortem de la panne RPKI du RIPE NCC, janvier 2021
- Rapport d'incident public d'ARIN pour le RPKI hébergé, octobre 2025
- Charte de la Number Resource Society
- NRS Shield: Représentation pour les risques et la protection des ressources des RIR
- Analyse des risques du service RPKI d'ARIN

