Abbiamo un sito web www.example.com con un certificato per il dominio www.example.com, abbiamo anche attivato HSTS. I Labs Qualys SSL ( link ) hanno confermato che l'HSTS è stato abilitato.
Ho notato che se si va al link (che è servito dallo stesso server Web), si verifica un errore del certificato, che è è prevedibile, in quanto non è presente alcun certificato per test.example.com caricato sul server Web. Tuttavia, ho notato che è possibile fare clic sugli errori del certificato e il contenuto Web viene quindi pubblicato.
Per me questo è un comportamento inaspettato. Ho pensato che una delle idee centrali dietro HSTS è che non è possibile fare clic su errori di certificato. Da Wikipedia: "Se la sicurezza della connessione non può essere garantita (ad esempio il certificato TLS del server non è attendibile), mostra un messaggio di errore e non consentire all'utente di accedere all'applicazione web".
Questo è accaduto sia con Firefox 59.0.2 (32-bit) che con Chrome (65.0.3325.146 (64-bit)).
La mia domanda: perché un browser consentirebbe a un utente di fare clic sugli errori del certificato su un sito Web in cui è abilitata l'HST?