2017年3月30日，W3C的Web认证工作组（Web Authentication Working Group）专利咨询组（Patent Advisory Group）发布了一份报告，建议W3C急需开展Web认证标准的制定工作。
 

2016年2月，在一份基于FIDO 2.0的会员提案基础上，W3C设立了Web认证工作组（W3C Web Authentication Working Group，详见工作组章程），致力于为Web应用定义基于非对称密码体系的API、数字签名及相关的数据格式。2016年5月31日，W3C发布了Web认证的首份工作草案。2016年8月，Visa Europe（W3C会员，但没有参与Web认证工作组）依据W3C专利政策提出了专利披露与豁免（disclosed and excluded）请求，10月，W3C设立专利咨询组，针对披露请求涉及的8项专利进行了分析和审查。所发布的审查报告认定这些披露的专利不对Web认证标准（Web Authentication Specification）的制定构成影响。
 

通常，在W3C中，如果某个技术标准中涉及的某项专利技术，相关专利已由持有者公开披露，是该技术标准实现中必须采用的技术（essntial），但根据W3C的 免费许可条款（Royalty-Free licensing terms）无法从专利持有人处获得免费授权时，W3C将设立专利咨询组（PAG, Patent Advisory Group），解决标准中的专利问题。
 

更多信息，请参阅英文原文，及该专利咨询组主页。

2017年1月26日，W3C的Web加密工作组（Web Cryptography Working Group）发布发布Web加密API（Web Cryptography API）的正式W3C推荐标准（W3C Recommendation）。该规范定义了一个JavaScript API，帮助Web应用以标准的方式完成基本的密码学操作，如哈希、签字生成与验证、加密及解密等。此外，该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。
 

更多内容，请参阅W3C的Web加密工作组。

2016年12月15日，W3C的Web应用安全工作组（Web Application Security Working Group ）发布内容安全策略（Content Security Policy Level 2）正式推荐标准。该文档定义了一个策略语言，用来声明一组对Web资源的访问限制（restrictions）；并定义了一种机制，用于在服务器和客户端之间传递策略并确保策略强制执行。
 

更多内容， 请参阅英文原文。

2016年10月17日，依据W3C的专利政策，W3C启动了Web认证工作组专利咨询组（Web Authentication Working Group Patent Advisory Group，PAG），以应对关于Web认证 API中设计的专利披露请求，这些披露请求是由 Visa Europe 提出的，共涉及 8项在美国、加拿大、新加坡、澳大利亚及韩国注册的专利，更多详情请参阅该专利咨询组的小组章程。
 

通常，在W3C中，如果某个技术标准中涉及的某项专利技术，相关专利已由持有者公开披露，是该技术标准实现中必须采用的技术（essntial），但根据W3C的 免版税条款（Royalty-Free licensing terms）无法从专利持有人处获得免费授权时，W3C将设立专利咨询组（PAG, Patent Advisory Group），解决标准中的专利问题。
 

更多信息，请参阅该专利咨询组主页，及公共邮件列表 [email protected]。

2016年8月2日，W3C的Web应用安全工作组（Web Application Security Working Group）发布了混合内容（Mixed Content）的候选推荐标准（Candidate Recommendation），向公众征集参考实现。

通常当用户代理通过一个安全信道（如HTTPS）从一个特定站点加载一个资源（如Web页面）时，用户代理可以获得关于该资源的用户安全和隐私状态的三种判断：认证性（authenticated）、加密性（encrypted）及数据完整性（data integrity）。这些判断对于防止资源内容被篡改或窃听，抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道（如HTTP）请求其他的子资源（如脚本、图片等），该资源的安全性就不再能够得到保证，从而处在一个混合状态，而事实上这一情况非常普遍。

混合内容（Mixed Content）标准详细介绍了用户代理（浏览器等）如何通过限制资源借助非安全信道与其他站点通信，以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式，控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时，如何禁止（disallow）对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。

更多信息，请参阅英文原文，及W3C的安全标准计划（Security Activity）。  

2016年5月31日，W3C的Web认证工作组（Web Authentication Working Group）发布Web认证：访问一定范围内凭证的Web API（Web Authentication: A Web API for accessing scoped credentials）的首份公开工作草案。该规范定义了一个API，允许Web页面通过浏览器脚本访问WebAuthn兼容的强加密凭证（Strong Authentication Credentials）。从概念上讲，在一个认证器（authenticator）上可以保存一个或者多个信任证（凭证），每一个信任证的使用范围可以限定在某一个信任方（relying party）。认证器应确保不会在用户不知情的情况下执行操作。为了保护用户隐私，用户代理（如 浏览器等）可用来协调这些对不同信任凭证的访问和使用操作。认证器可以通过认证（attestation）功能对属性的加密向信任方提供信息。此外，该规范还给出了与WebAuthn兼容的认证器功能模型，包括其签字及认证功能细则。

更多内容，请参阅英文原文。