Ho implementato l'HSTS nel mio sito Web ASP.Net MVC. Ma se faccio una richiesta HTTP (non HTTPS), la richiesta si sta propagando usando il canale HTTP e la risposta è 301: Moved Permanently. E dalla seconda richiesta in poi, sta comunicando tramite HTTPS.
È questo il comportamento corretto dell'HSTS? Sono un po 'preoccupato, se qualcuno richiede deliberatamente il traffico http è ancora accettandolo (la prima richiesta).