La aplicación en la que estoy trabajando solo es accesible a través de la dirección IP, por lo que la conexión HTTPS se proporciona a través de un certificado con firma personalizada.
Le expliqué a mi cliente que (de MDN docs )
[...] cuando se accede a su sitio a través de HTTPS con sin errores de certificado , el navegador sabe que su sitio es compatible con HTTPS y respetará el encabezado Strict-Transport-Security.
por lo tanto, no funciona con el certificado auto-sigend, pero él lo quiere de todos modos debido a (citando) "razones de seguridad".
¿El encabezado HSTS tiene alguna utilidad en caso de certificados autofirmados?