<div dir="auto"><span>On Tue, 23 Sep 2025 at 17:41, Carlos Martinez-Cagnazzo <<a href="mailto:carlos@lacnic.net">carlos@lacnic.net</a>> wrote:</span><br></div><div dir="auto"><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)" dir="auto">Thanks Job,<br>
<br>
I believe there is a sweet spot somewhere. If you run a really large <br>
org, I believe operationally it make sense to run your own CA. You may <br>
run into things like the need to run transfers, move space from one <br>
service to the other and you will feel more at home running something <br>
you can deeply integrate with your automation platforms.<br>
<br>
If you run a small org, you are definitely better off on hosted.</blockquote><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)" dir="auto"></blockquote><div dir="auto"><br></div><div dir="auto">I disagree with some of what you say, having worked for several large orgs, I contend that the RIR-provided APIs work just as fine as poking APIs of an internal CA; RIR probably better.</div><div dir="auto"><br></div><div dir="auto">The observable experience with “a really large org running their own CA”, so far has only demonstrated that the large org repeated all the mistakes that the RIRs made in the beginning.</div><div dir="auto"><br></div><div dir="auto">“Large” just doesn’t equate “good execution”.</div><div dir="auto"><br></div><div dir="auto">Kind regards,</div><div dir="auto"><br></div><div dir="auto">Job</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)" dir="auto"></blockquote></div></div>