Comme annoncé en septembre, Chrome marquera bientôt les pages non sécurisées contenant un mot de passe et une carte de paiement comme Non sécurisé dans la barre d'adresse.
Ce document est destiné à aider les développeurs Web à mettre à jour leurs sites pour éviter cet avertissement.
Activer les avertissements
Les avertissements seront activés par défaut pour tous les utilisateurs de Chrome 56, dont la sortie est prévue en janvier 2017.
Pour tester l'expérience utilisateur à venir avant cette date, installez la dernière version de Google Chrome Canary.
Pour configurer Chrome afin d'afficher l'avertissement tel qu'il apparaîtra en janvier 2017, ouvrez chrome://flags/#mark-non-secure-as et définissez l'option Mark non-secure origins as
non-secure sur Display a verbose state when password or credit card
fields are detected on an HTTP page. Relancez ensuite votre navigateur.
Pour voir un exemple de comportement d'avertissement du navigateur, consultez cette page.
Lorsque l'état "Non sécurisé" est affiché, la console des outils de développement affiche le message This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar..
Résoudre les avertissements
Pour vous assurer que l'avertissement "Non sécurisé" ne s'affiche pas pour vos pages, vous devez vous assurer que tous les formulaires contenant des éléments <input type=password> et toutes les entrées détectées en tant que champs de carte de crédit sont présents uniquement pour des origines sécurisées. Cela signifie que la page de premier niveau doit être au format HTTPS et que, si input se trouve dans un iFrame, cet iFrame doit également être diffusé via HTTPS.
Si votre site superpose un cadre de connexion HTTPS sur des pages HTTP...
Vous devez modifier le site de sorte qu'il utilise le protocole HTTPS pour l'intégralité du site (idéalement) ou qu'il redirige la fenêtre du navigateur vers une page HTTPS contenant le formulaire de connexion:
Long terme : utilisez le protocole HTTPS partout
Par la suite, Chrome affichera un avertissement "Non sécurisé" pour toutes les pages diffusées via HTTP, que la page contienne ou non des champs de saisie sensibles. Même si vous adoptez l'une des résolutions les plus ciblées ci-dessus, vous devez prévoir de migrer votre site de manière à utiliser HTTPS pour toutes les pages.