Como evitar o aviso de não segurança no Chrome

Conforme anunciado em setembro, o Chrome vai marcar em breve as páginas não seguras que contêm campos de entrada de senha e cartão de crédito como Não seguro na barra de URL.

Este documento tem como objetivo ajudar os desenvolvedores da Web a atualizar os sites para evitar esse aviso.

Ativar avisos

Os avisos serão ativados por padrão para todos no Chrome 56, previsto para lançamento em janeiro de 2017.

Para testar a experiência do usuário antes disso, instale o build Google Chrome Canary mais recente.

Para configurar o Chrome para mostrar o aviso conforme ele vai aparecer em janeiro de 2017, abra chrome://flags/#mark-non-secure-as e defina a opção Mark non-secure origins as non-secure como Display a verbose state when password or credit card fields are detected on an HTTP page. Em seguida, reinicie o navegador.

Confira um exemplo do comportamento de aviso do navegador nesta página.

Quando o estado "Não seguro" é mostrado, o console do DevTools mostra a mensagem This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar.

Exemplo de aviso do console.

Resolver avisos

Para garantir que o aviso "Não é seguro" não seja exibido nas suas páginas, é necessário garantir que todos os formulários com elementos <input type=password> e todas as entradas detectadas como campos de cartão de crédito estejam somente em origens seguras. Isso significa que a página de nível superior precisa ser HTTPS e, se o input estiver em um iframe, esse iframe também precisa ser exibido por HTTPS.

Se o site sobrepor um frame de login HTTPS em páginas HTTP...

Exemplo de login HTTPS por HTTP.

Você vai precisar mudar o site para usar HTTPS em todo o site (o ideal) ou redirecionar a janela do navegador para uma página HTTPS que contenha o formulário de login:

Exemplo de login HTTPS por HTTPS.

Longo prazo: use HTTPS em todos os lugares

Futuramente, o Chrome vai mostrar um aviso "Não seguro" para todas as páginas disponibilizadas por HTTP, independentemente de a página conter ou não campos de entrada sensíveis. Mesmo que você adote uma das resoluções mais direcionadas acima, planeje migrar seu site para usar HTTPS em todas as páginas.