Для тех, кто видит подобную проблему - это может быть потому, что ваш браузер еще не получил доступ к сайту через HTTPS. Попробуйте получить доступ к нему через HTTPS, а затем снова через HTTP. Если HSTS реализован правильно, последний запрос должен завершиться неудачей. MDN объясняет это красиво :
Примечание .
Strict-Transport-Security
Заголовок игнорируется браузером при обращении к вашему сайту с использованиемHTTP
; это потому, что злоумышленник может перехватитьHTTP
соединения и внедрить заголовок или удалить его. Когда к вашему сайту обращаютсяHTTPS
без ошибок сертификата, браузер знает, что ваш сайтHTTPS
способен и соблюдаетStrict-Transport-Security
заголовок.