He implementado el HSTS en mi sitio web basado en ASP.Net MVC. Pero si hago una solicitud HTTP (no HTTPS), la solicitud se está propagando usando el canal HTTP y la respuesta es 301: Movida permanentemente. Y desde la 2ª solicitud en adelante, se está comunicando mediante HTTPS.
¿Es este el comportamiento correcto de HSTS? Me preocupa un poco, si alguien solicita deliberadamente el tráfico http sigue aceptándolo (la primera solicitud).
Existe un concepto llamado TOFU (Trust On First Use) junto con HSTS. Necesita agregar su URL a la Lista de precarga de HSTS para habilitar su primera solicitud con HSTS. Está verificando sus atributos de HSTS como max-age e includeSubDomains, etc ... y agrega su sitio a la lista si cumple.
Puede consultar la lista de sitios habilitados para HSTS existentes en gium project project git . Puede cargar uno de estos sitios HSTS correctamente implementados y verificar cómo se comportan.
Puede verificar la configuración de HSTS relacionada con el navegador (chrome) utilizando esta url