Supponiamo che abbia configurato correttamente il mio server per applicare la politica HSTS e funzioni correttamente per i browser IE 11. Che cosa accade quando un utente che utilizza un browser non supportato (ad esempio, IE 9) tenta di accedere al sito? Cosa farà il server e cosa vedrà l'utente? Esiste un processo / procedura per "garbo" gestire la condizione di un browser non supportato che accede a un sito HSTS?
L'unica cosa che il server fa quando si tratta di HSTS sta inviando l'intestazione Strict-Transport-Security . Applicare la politica - tenere traccia di quale dominio ha HSTS, quando scade, assicurandosi che questi siano accessibili solo con HTTPS, ecc. - è interamente responsabilità del cliente (ad esempio il browser).
Quindi cosa succede quando un browser non di supporto visita un sito HSTS? Il browser vede un'intestazione che non riconosce, quindi non fa nulla con esso. Quindi continua a fare ciò che fa un browser come se nulla fosse successo. Ovviamente l'utente di tale browser non ottiene alcuna protezione, ma non ottiene alcun problema di compatibilità.
Quindi non ci sono problemi di compatibilità con HSTS, e non devi fare nulla di più per i vecchi browser.