Comme annoncé en septembre, Chrome marquera bientôt les pages non sécurisées contenant des champs de saisie de mot de passe et de carte de crédit comme Non sécurisé dans la barre d'adresse.
Ce document est destiné à aider les développeurs Web à mettre à jour leurs sites pour éviter cet avertissement.
Activer les avertissements
Les avertissements seront activés par défaut pour tous les utilisateurs dans Chrome 56, dont la sortie est prévue pour janvier 2017.
Pour tester l'expérience utilisateur à venir avant cette date, installez la dernière version de Google Chrome Canary.
Pour configurer Chrome afin d'afficher l'avertissement tel qu'il apparaîtra en janvier 2017, ouvrez chrome://flags/#mark-non-secure-as et définissez l'option Mark non-secure origins as
non-secure sur Display a verbose state when password or credit card
fields are detected on an HTTP page. Relancez ensuite votre navigateur.
Pour voir un exemple de comportement d'avertissement du navigateur, consultez cette page.
Lorsque l'état "Non sécurisé" s'affiche, la console DevTools affiche le message This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar..
Résoudre les avertissements
Pour que l'avertissement "Non sécurisé" ne s'affiche pas pour vos pages, vous devez vous assurer que tous les formulaires contenant des éléments <input type=password> et les entrées détectées en tant que champs de carte de crédit sont présents uniquement sur des origines sécurisées. Cela signifie que la page de premier niveau doit être au format HTTPS et que, si input se trouve dans un iFrame, cet iFrame doit également être diffusé via HTTPS.
Si votre site superpose un cadre de connexion HTTPS sur des pages HTTP...
Vous devez modifier le site de sorte qu'il utilise le protocole HTTPS pour l'ensemble du site (idéal) ou rediriger la fenêtre du navigateur vers une page HTTPS contenant le formulaire de connexion:
À long terme : utiliser le protocole HTTPS partout
À terme, Chrome affichera un avertissement "Non sécurisé" pour toutes les pages diffusées via HTTP, qu'elles contiennent ou non des champs de saisie sensibles. Même si vous adoptez l'une des résolutions les plus ciblées ci-dessus, vous devez planifier la migration de votre site afin qu'il utilise le protocole HTTPS pour toutes les pages.