Comme annoncé en septembre, Chrome marquera bientôt les pages non sécurisées contenant des champs de saisie de mot de passe et de carte de crédit comme Non sécurisées dans la barre d'URL.
Ce document est destiné à aider les développeurs Web à mettre à jour leurs sites pour éviter cet avertissement.
Activer les avertissements
Les avertissements seront activés par défaut pour tous les utilisateurs de Chrome 56, qui devrait être disponible en janvier 2017.
Pour tester l'expérience utilisateur à venir avant cette date, installez la dernière version de Google Chrome Canary.
Pour configurer Chrome afin qu'il affiche l'avertissement tel qu'il apparaîtra en janvier 2017, ouvrez chrome://flags/#mark-non-secure-as et définissez l'option Mark non-secure origins as
non-secure sur Display a verbose state when password or credit card
fields are detected on an HTTP page. Redémarrez ensuite votre navigateur.
Vous pouvez consulter un exemple du comportement d'avertissement du navigateur sur cette page.
Lorsque l'état "Non sécurisé" s'affiche, la console DevTools affiche le message This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar..
Résoudre les avertissements
Pour vous assurer que l'avertissement "Non sécurisé" ne s'affiche pas pour vos pages, vous devez vous assurer que tous les formulaires contenant des éléments <input type=password> et toutes les entrées détectées comme des champs de carte de crédit ne sont présents que sur des origines sécurisées. Cela signifie que la page de niveau supérieur doit être HTTPS et que, si input se trouve dans une iFrame, cette iFrame doit également être diffusée via HTTPS.
Si votre site superpose un cadre de connexion HTTPS sur des pages HTTP…
Vous devez modifier le site pour qu'il utilise HTTPS pour l'ensemble du site (idéal) ou rediriger la fenêtre du navigateur vers une page HTTPS contenant le formulaire de connexion:
À long terme : utilisez HTTPS partout
À terme, Chrome affichera un avertissement "Non sécurisé" pour toutes les pages desservies par HTTP, que la page contienne ou non des champs de saisie sensibles. Même si vous adoptez l'une des solutions plus ciblées ci-dessus, vous devez planifier la migration de votre site vers HTTPS pour toutes les pages.