HPKP - плохая идея. Слишком легко создать свой сайт, используя его, и защита, которую он обеспечивает, довольно мала, учитывая, что.
Из-за этого почти все браузеры отказались от поддержки HPKP .
Одна из вещей, которые входит в состав c для предотвращения взлома вашего сайта, заключается в том, что у вас должен быть хотя бы один пин НЕ в вашем текущем сертификате и цепочке . То есть у вас должно быть два совершенно независимых контакта - один из резервного ключа / сертификата / CA, поэтому, если вы потеряете контроль над своим основным, вы все равно сможете подключиться. Если вы только закрепили свой сертификат, промежуточное звено и root, то они все из одной цепочки и поэтому не отвечают этому требованию.
Исправьте это, и оно должно быть принято SSLLabs. Но, честно говоря, зачем беспокоиться о поддержке браузера и профиле риска и вознаграждения?