Но в то же время в ответе нет заголовка Strict-Transport-Security.
Должно быть, это было в какой-то момент, потому что динамическая запись была добавлена в ваш экземпляр Chrome.
Также помните, что HSTS можно отправлять на любом ресурсе, а не только наосновной документ.Так что, если вы отправляете его на ресурс логотипа, тогда он будет установлен для всего домена.
Вы можете очистить его, используя ту же страницу chrome://net-internals/#hsts, и посмотреть, вернется ли он после просмотра?Если так, то что-то все еще отправляет его, если нет, то, возможно, сайт, который рекламировал HSTS, но больше не делает этого.
Он был установлен в течение одного года:
(1555681911.957194 - 1524145911.957196) / 365 / 24 / 60 = 1 year
Ииз моих грубых расчетов, пытающихся конвертировать эти метки даты, похоже, что в последний раз они были установлены 20 апреля 2018 года.
Если сайт действительно прекратил использовать HSTS по какой-либо причине, возможно, было бы лучше объявить 0вместо заголовка, так что по крайней мере те посетители, которые посещают через HTTPS, теперь удалят политику:
Strict-Transport-Security: max-age=0; includeSubDomains
Любой, кто не посещает через HTTPS, не будет очищен до тех пор, пока не истечет срок его действия.