Google开始对所有Blogspot域名默认启用HTTPS。在这之前，启用HTTPS是Blogspot设置中可选的功能。Google安全工程师Milanda Perera称，HTTPS是互联网安全的基础，能保护网站和用户浏览器之间所发送数据的完整性和保密性。他们从设置中移除了可选的启用HTTPS，默认对所有域名启用加密。启用HTTPS的好处包括：第三方将不知道你访问的内容；确保你通信的服务器属于域名的真正所有人；防止第三方纂改内容如插入广告。

微软安全团队宣布，从今年夏天释出Windows 10周年更新开始，Microsoft Edge和Internet Explorer浏览器将视SHA-1签名的数字证书为不安全的，HTTPS网站如果使用了SHA-1证书将会移除地址栏的锁标志，用户仍然可以访问网站，但连接将会被认为不安全。随着计算能力的提升，伪造使用SHA-1算法签名的证书所需的时间将会越来越少。主要浏览器开发商都制定了淘汰SHA-1的计划。微软将从2017年2月开始完全屏蔽SHA-1签名的数字证书，用户将不再能访问使用SHA-1证书的网站。

美国费城的一位前警官被怀疑持有儿童色情，他因为拒绝要求他解密加密硬盘的法庭命令而面临无限期拘禁。他还没有受到任何指控，辩护律师要求联邦上诉法院立即释放其客户。这位嫌疑人使用了苹果的FileVault软件加密了两个硬盘，政府再次成功的引用1789年的All Writs Act要求嫌疑人解密被认为包含儿童色情的加密硬盘。All Writs Act也曾被美国司法部用于强迫苹果帮助FBI开发后门固件解锁枪手的手机，这一诉讼最终在支付了超过100万美元后撤回。

美国国家情报总监 James Clapper称，Snowden的曝光加速了先进加密技术的推广，在情报界看来这不是好事。他表示加密技术的普及比NSA预计的快了7年。Clapper还声称，伊斯兰国是至今互联网上最老练的用户，该组织购买了软件确保通信的端对端加密，但他没说明购买了什么软件。媒体曾报道说伊斯兰国使用过Telegram、 WhatsApp和TrueCrypt，但这些都是免费软件不需要付费。

执法机构想要弱加密或内置后门的加密，而军方则想要没人能破解的强加密。美国国防部高级研究计划署（DARPA）公布了一个研究项目，旨在寻找一个加密消息和事务平台，使用现有消息应用WhatsApp、Signal或Ricochet等相同的加密功能，但同时还使用类似比特币块链技术的去中心化架构，能更有弹性的对抗监视和网络攻击。用安全研究人员的话说，DARPA想要的是一个任何人都能监视和发布信息的公共墙，但只有正确的人能解密信息。该项目将分成三个阶段开发，在前两个阶段DARPA将为参与者提供资金，第一阶段提供的资金为一年不超过15万美元，第二阶段为最高两年100万美元，第三阶段是企业可以商业化他们的应用，让任何人都可以使用，但不会再得到联邦的资助。

在WhatsApp宣布完整支持端对端加密之后，另一款流行的网络电话及即时通讯软件Viber也宣布在最新更新中加入了端对端加密支持。类似WhatsApp，在聊天界面的UI上用户会看到加密锁的图标。最新更新的另一项功能是隐藏聊天，用户可以选择隐藏特定的聊天记录，没有人知道它们存在过。Viber在全世界有超过7亿用户，支持iOS和Android，以及三大桌面操作系统。这些功能对中国用户可能意义不大，因为它在2014年就被屏蔽了。

美国参议员Richard Burr和Dianne Feinstein正式公布了受争议的反加密法案《Compliance with Court Orders Act of 2016》。该法案要求科技公司遵守法庭命令解密客户的数据。这一法案在科技界和立法界招致了批评，美国总统奥巴马已在上周表示不会支持该法案。美国的科技公司开始越来越多的采用端对端加密，也就是除非有加密的后门否则企业本身也无法解密客户的加密数据。这项立法事实上是要求提供通信服务的企业植入加密后门，以提供”情报信息或数据“，或提供恰当的技术援助去获得此类的信息或数据。Dianne Feinstein参议员在声明中以恐怖分子和犯罪分子使用加密阻止执法调查为由为法案辩护，“我们需要强加密去保护个人数据，但我们也需要知道恐怖分子策划阴谋在什么时候去杀死美国人。”

提前三周大肆宣传的漏洞Badlock终于公布了细节，虽然它的做法遭到了批评，但它所披露的威胁是真实的。Badlock漏洞存在于每个Windows和Linux操作系统的一个名叫 Distributed Computing Environment/Remote Procedure Call (DCE/RPC)的安全组件中。在Windows网络中，它被管理员用于访问最有价值的资产 Active Directory。监视网络流量的攻击者可以利用该漏洞悄悄发动中间人攻击，拦截DCE/RPC 流量，访问Samba共享中的文件或访问 Active Directory管理工具。Red Hat、Debian和微软都已经发布或释出了更新。Red Hat将该漏洞归类为高危级。

研究人员发表报告，称发现了OpenSSL随机数生成器的多个弱点。OpenSSL开源加密库被全世界互联网公司广泛使用，但曾多次曝出严重漏洞，并因此催生了多个新的开源加密库项目，其中包括Google的BoringSSL和OpenBSD的LibreSSL。研究人员发现，低熵态的OpenSSL随机数生成器可能会在输出中泄漏低熵秘密。BoringSSL和LibreSSL的随机数生成器使用了完全不同的更安全的系统，没有这些弱点。

旨在让每个网站都能使用HTTPS加密的Let’s Encrypt项目从去年12月起开放beta测试，至今已经签发了超过100万个证书。它现在宣布从即日起脱离beta状态，称获得了更多赞助商的支持，其中包括惠普、Gemalto和Fastly等金级和银级赞助商。Let’s Encrypt称，从去年9月开始beta测试以来，它至今已经为超过380万家网站签发了170多万个证书。

2016年4月8日GMT时间9:04am，Let's Encrypt CA签发了第100万个证书，对该非营利CA来说这是一个新的里程碑，距离它开放beta测试仅仅相距3个月零5天。一个证书可以被多个域名使用，Let's Encrypt签发的100万证书被250万个完全限定域名所使用，其中超过90%以前从来没有获得浏览器认可的证书。Let's Encrypt项目由EFF、 Mozilla、Akamai、密歇根大学和思科等组织发起，其使命是让每个网站都能使用HTTPS加密，而中国网站使用HTTPS的数量极少。

GitHub官方博客宣布，从即日起支持GPG签名。GPG是PGP加密软件的自由软件版本。GitHub称，软件的开发者来自全世界，有时候有必要验证commits和tags是来自于已认证来源。从现在开始，浏览一个签名过的commit或tag时，用户能看到一个标记，指示该签名是否已经使用贡献者上传到GitHub的GPG key进行了验证。开发者可以在其key设置页面上传GPG key。

WhatsApp宣布对所有形式的通信和所有用户默认启用端对端加密，拨打电话、发送短消息，共享照片和视频等功能都会变得更安全。用户将能在聊天窗口的设置界面看到加密状态。WhatsApp是从2014年起与 Open Whisper Systems展开合作，在其产品中整合Signal协议，这一整合在本周最终完成，用户如果使用最新版本的WhatsApp将默认启用端对端加密。当客户端识别出联系人的客户端完整支持端对端加密，它将不再允许传输明文，即使联系人降级到一个不完整支持端对端加密的旧版本。此举旨在防止加密降级攻击。

美国司法部向法庭递交文件（PDF），称FBI已经破解了San Bernardino枪击案枪手Syed Rizwan Farook的iPhone 5C手机，请求撤销强制要求苹果帮助解锁手机的法庭诉讼。撤销诉讼暂时化解了科技公司与美国政府之间有关加密后门的冲突，但也引发了政府在掌握了加密漏洞之后是否通知苹果公司的疑问，如果苹果没有堵上安全漏洞那么会有更多的普通用户受到影响。美国政府曾公布了一份漏洞披露政策Vulnerabilities Equities Process (VEP) 。法庭文件没有披露FBI使用什么方法破解手机，但有人推测可能与iPhone 5C使用的A6处理器有关，A6组合使用了密码和唯一设备ID生成256比特位密钥，它存在漏洞允许拷贝闪存记忆器内的数据，然后进行暴力破解（4位到6位密码的组成次数十分有限）。但苹果在较新手机中使用的A7处理器基本上堵上了这个漏洞，它使用了一个硬件级的安全区域secure enclave去防止镜像数据和暴力破解密码。

澳大利亚研究人员担心即将于4月生效的国防贸易管控法将限制他们的学术自由。新的法律要求从事军民两用类研究的学者在与外国的同行交流前需要先获得澳大利亚国防部的许可。被归类为军民两用类的研究涵盖了从电子到微生物的广泛领域，其中涉及到加密和人工智能。这些领域的学者都担心新立法的影响。美国和英国有类似的法律，但涉及基础和应用研究的学术研究被排除在外。澳大利亚的例外只包含基础研究，而不包含应用研究。

独立安全研究人员和硅谷巨人联合提出了新的电子邮件加密协议SMTP STS (Strict Transport Security)。电子邮件传输协议SMTP从来就不是一个安全的协议，它诞生于1982年，当时在线监视还不是问题。科技公司后来提出了一个扩展STARTTLS去加密电子邮件，但设计缺陷让攻击者可以欺骗发送者不使用加密而是使用明文发送邮件，它容易受到中间人攻击。新的SMTP STS协议则设计堵上这个漏洞，避免加密降级和中间人攻击，类似用HSTS加固HTTPS。参与起草协议草案的公司包括了微软、Google、雅虎、LinkedIn和Comcast。

约翰霍普金斯大学的研究人员发现了苹果的一个加密弱点，但这对于想要解锁手机的FBI可能没有什么帮助。苹果表示今天发布的iOS 9.3将修复这个漏洞，它感谢了研究人员的帮助，称安全需要不断的努力。Matthew D. Green教授领导的团队在iMessage中发现了一个加密漏洞，允许攻击者解密通过iMessage发送的照片和视频。他和他的研究生开发了一个软件去模拟苹果的服务器，拦截加密传输，他们拦截的内容是一个储存在 iCloud服务器上的照片链接和解密照片的64位数字密钥。他们发现可以通过一个重复数千次的过程去猜测出正确的密钥。

专家估计，全世界14亿Android手机中只有大约10%使用了加密，相比之下加密的iPhone手机高达95%。大部分用户是不会修改默认设置的，而几乎所有的Android手机都支持加密，但不是所有版本都默认启用，而iOS自8.0之后都是默认加密。Google在旧版本中没有默认启用加密的理由是它会影响性能。而加密之所以影响性能是因为在加密设备上读取和写入数据都需要解密和重新加密，一些旧的ARM处理器并不擅长这一工作。使用ARMv8指令集的新处理器大幅度改进了解密和加密的性能。你可以使用 CPU-Z和 AIDA64测试自己的手机是否使用了ARMv8。

《华尔街日报》援引知情人士的消息报道，苹果拒绝了开发特定固件解锁枪手Syed Rizwan Farook手机的要求，但移交了该手机在iCloud服务上的备份数据。以后可能就不会那么简单了。苹果正在采取措施加强加密保护，这样就无法破解存储在iCloud上的用户信息了。但苹果高管在如何不给用户带来不便的情况下加强iCloud加密方面拿不定注意。例如，如果用户忘记密码，苹果也无法解锁，那么用户可能就无法获取照片和其他重要数据。这个问题在现实世界也是一样：加强安全保护意味着更多障碍，例如增加门锁或者是家庭报警系统的密码等都会带来不便。苹果的方法推测是端对端加密。

移动通信服务商和互联网巨头如Google、Facebook、WhatsApp和Snapchat都计划强化或扩大加密功能保护用户数据隐私。Facebook将增加其Messenger服务的私密性，WhatsApp将强加密扩大到语音呼叫，Snapchat正在开发一个安全消息系统，Google探索扩大使用加密。WhatsApp在2014年开始向用户提供端对端加密功能，它的创始人 Jan Koum出生于苏联时期的乌克兰，对FBI要求苹果开发后门固件所包含的意义有着清晰的认识，他认为人类的自由正面临危险。WhatsApp计划未来几周将加密功能扩大到语音呼叫和群消息功能。这将使得WhatsApp更难被监视。此前WhatsApp的一位南美高管因为无法向巴西提供解密信息而短暂遭到逮捕。