Cómo evitar la advertencia de no seguro en Chrome

Como se anunció en septiembre, Chrome pronto marcará como No segura las páginas no seguras que contengan campos de entrada de contraseña y tarjeta de crédito en la barra de URL.

El objetivo de este documento es ayudar a los desarrolladores web a actualizar sus sitios para evitar esta advertencia.

Habilitar advertencias

Las advertencias estarán habilitadas de forma predeterminada para todos los usuarios en Chrome 56, cuyo lanzamiento se espera en enero de 2017.

Para probar la próxima experiencia del usuario antes de ese momento, instala la compilación más reciente de Google Chrome Canary.

Si deseas configurar Chrome para que muestre la advertencia como aparecerá en enero de 2017, abre chrome://flags/#mark-non-secure-as y establece la opción Mark non-secure origins as non-secure en Display a verbose state when password or credit card fields are detected on an HTTP page. A continuación, reinicia el navegador.

Puedes ver un ejemplo del comportamiento de advertencia del navegador en esta página.

Cuando se muestra el estado No seguro, la consola de Herramientas para desarrolladores muestra el mensaje This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar.

Ejemplo de advertencia de Console.

Cómo resolver advertencias

Para asegurarte de que no se muestre la advertencia No seguro en tus páginas, debes asegurarte de que todos los formularios que contengan elementos <input type=password> y las entradas detectadas como campos de tarjetas de crédito estén presentes solo en orígenes seguros. Esto significa que la página de nivel superior debe ser HTTPS y, si input está en un iframe, ese iframe también debe entregarse a través de HTTPS.

Si tu sitio superpone un marco de acceso HTTPS sobre las páginas HTTP...

Un ejemplo de acceso HTTPS a través de HTTP.

Deberás cambiar el sitio para usar HTTPS en todo el sitio (ideal) o redireccionar la ventana del navegador a una página HTTPS que contenga el formulario de acceso:

Un ejemplo de acceso HTTPS a través de HTTPS.

Largo plazo: Usa HTTPS en todas partes

Con el tiempo, Chrome mostrará una advertencia de No seguro para todas las páginas que se publiquen a través de HTTP, independientemente de si la página contiene o no campos de entrada sensibles. Incluso si adoptas una de las resoluciones más específicas que se mencionaron anteriormente, debes planificar la migración de tu sitio para usar HTTPS en todas las páginas.