La Sección 7.2 de RFC 6797 declara:
Un host HSTS NO DEBE incluir el campo de encabezado STS en las respuestas HTTP
transportado a través de transporte no seguro.
En la práctica, tengo muchos hosts detrás de un equilibrador de carga de Amazon donde las solicitudes de los puertos 443 y 80 se reenvían a la misma configuración Nginx. Sería considerablemente más sencillo enviar siempre el encabezado Strict-Transport-Security
, independientemente del protocolo de entrada utilizado.
No me importa si el UA ignora el encabezado en solicitudes inseguras. Solo me gustaría confirmar si esta infracción RFC causa un problema en la práctica.
Las solicitudes inseguras ya están redirigidas a versiones seguras por parte del servidor, donde la UA recibiría un encabezado Secure-Transport-Security
válido en su respuesta.