Ho implementato l'HSTS nel mio sito Web ASP.Net MVC. Ma se faccio una richiesta HTTP (non HTTPS), la richiesta si sta propagando usando il canale HTTP e la risposta è 301: Moved Permanently. E dalla seconda richiesta in poi, sta comunicando tramite HTTPS.
È questo il comportamento corretto dell'HSTS? Sono un po 'preoccupato, se qualcuno richiede deliberatamente il traffico http è ancora accettandolo (la prima richiesta).
Esiste un concetto chiamato TOFU (Trust On First Use) insieme a HSTS. Devi aggiungere il tuo URL alla lista di precarico HSTS per abilitare la tua prima richiesta con HSTS. Controlla i tuoi attributi HSTS come max-age e includeSubDomains ecc ... e aggiunge il tuo sito all'elenco se è conforme.
Puoi controllare l'elenco dei siti HSTS esistenti nel git del progetto chromi . Puoi caricare uno di questi siti HSTS correttamente implementati e verificare come si comportano.
Puoi controllare le impostazioni HSTS relative al browser (chrome) usando questo url