Supongamos que he configurado correctamente mi servidor para aplicar la política HSTS y funciona correctamente para los navegadores IE 11. ¿Qué sucede cuando una persona que usa un navegador no compatible (por ejemplo, IE 9) intenta acceder al sitio? ¿Qué hará el servidor y qué verá el usuario? ¿Existe un proceso / procedimiento para manejar "sin problemas" la condición de un navegador no compatible que acceda a un sitio HSTS?
Lo único que el servidor hace cuando se trata de HSTS es enviar el encabezado Strict-Transport-Security . Hacer cumplir la política: realizar un seguimiento de qué dominio tiene HSTS, cuando caduca, asegurarse de que solo se acceda a ellos con HTTPS, etc. - es responsabilidad del cliente (por ejemplo, el navegador).
Entonces, ¿qué ocurre cuando un navegador no compatible visita un sitio HSTS? El navegador ve un encabezado que no reconoce, por lo que no hace nada con él. Luego continúa haciendo lo que hace un navegador como si nada hubiera pasado. Por supuesto, el usuario de dicho navegador no recibe ninguna protección, pero tampoco tiene problemas de compatibilidad.
Por lo tanto, no hay problemas de compatibilidad con HSTS, y no necesitas hacer nada adicional para navegadores más antiguos.