Wie im September angekündigt, werden in Chrome bald nicht sichere Seiten mit Eingabefeldern für Passwörter und Kreditkarten in der URL-Leiste als Nicht sicher gekennzeichnet.
Dieses Dokument soll Webentwicklern dabei helfen, ihre Websites so zu aktualisieren, dass diese Warnung nicht mehr angezeigt wird.
Warnungen aktivieren
In Chrome 56, das im Januar 2017 veröffentlicht wird, sind Warnungen standardmäßig für alle aktiviert.
Wenn Sie die neue Version schon vorher testen möchten, installieren Sie die neueste Google Chrome Canary-Version.
Wenn Sie Chrome so konfigurieren möchten, dass die Warnung so angezeigt wird, wie sie im Januar 2017 angezeigt wird, öffnen Sie chrome://flags/#mark-non-secure-as und legen Sie die Option Mark non-secure origins as
non-secure auf Display a verbose state when password or credit card
fields are detected on an HTTP page fest. Starten Sie dann den Browser neu.
Ein Beispiel für das Warnverhalten des Browsers finden Sie auf dieser Seite.
Wenn der Status „Nicht sicher“ angezeigt wird, wird in der DevTools-Konsole die Meldung This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
Warnungen beheben
Damit die Warnung „Nicht sicher“ nicht für Ihre Seiten angezeigt wird, müssen alle Formulare mit <input type=password>-Elementen und alle Eingaben, die als Kreditkartenfelder erkannt werden, nur auf sicheren Ursprungswebsites vorhanden sein. Das bedeutet, dass die oberste Seite HTTPS sein muss. Wenn sich die input in einem Iframe befindet, muss dieser Iframe ebenfalls über HTTPS bereitgestellt werden.
Wenn Ihre Website einen HTTPS-Anmeldeframe über HTTP-Seiten legt…
Sie müssen die Website so ändern, dass entweder HTTPS für die gesamte Website verwendet wird (ideal) oder das Browserfenster auf eine HTTPS-Seite mit dem Anmeldeformular weitergeleitet wird:
Langfristig: Verwenden Sie überall HTTPS.
Letztendlich wird in Chrome eine Warnung angezeigt, dass die Verbindung nicht sicher ist, wenn alle Seiten über HTTP bereitgestellt werden, unabhängig davon, ob die Seite sensible Eingabefelder enthält oder nicht. Auch wenn Sie eine der oben genannten Lösungen umsetzen, sollten Sie Ihre Website so migrieren, dass für alle Seiten HTTPS verwendet wird.