Перед тем как приступать к решению проблемы, нужно проверить, а есть ли вообще эта проблема… Ну и
конечно после оптимизации сайта нужно проверять, что всё настройки работают правильно.
Эта инструкция поможет проверить, правильно ли настроен заголовок HSTS для вашего сайта.
Как проверить
Есть отличный ресурс по проверке заголовков ответа сервера — Яндекс Вебмастер
Мы уже не раз рассказывали как им пользоваться, поэтому перейдём сразу к делу.
Вставляем ссылку на сайт и проверяем.
Код статуса HTTP должен быть «200 OK» а среди остальных заголовков должна быть такая строка
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Параметр max-age может быть больше чем 31536000 секунд, но не может быть меньше.
Если у вас есть
такой заголовок и есть все указанные параметры, значит всё в порядке.
Рекомендуем ещё добавить ваш сайт в Preload List, об этом читайте на странице «Как настроить заголовок HSTS».
Полезные статьи
В этой статье очень подробно написано про Strict-Transport-Security, приведено полезные примеры и как лучше использовать. Так же вы можете узнать как ведёт себя браузер, с подключением HTTPS и возврате Strict-Transport-Security заголовка