Aanvulling na een nachtje slapen: wat ontbreekt is uitleg wat er precies fout gaat, en ik heb nog wat tips. Oorzaak Wat fout gaat zijn sites zonder subdomeinnaam die, vanuit een http verbinding met die site, de gebruiker meteen doorsturen naar https:// gevolgd door een andere domeinnaam. Dus als een site zoals http://nctv.nl/ jou meteen doorstuurt naar https://www.nctv.nl/, dan registreert de browser geen HSTS header van nctv.nl - en dat maakt de gebruiker elke keer kwetsbaar als zij naar nctv.nl surft. Zoals duidelijk moge zijn: als www.nctv.nl een HSTS header verstuurt, zal de browser van de gebruiker www.nctv.nl in haar HSTS database opnemen, maar daar schiet nctv.nl niets mee op - daar is immers geen https verbinding mee geweest. In plaats van de browser via de volgende, wel veilige, route: http://nctv.nl/ -> https://nctv.nl/ -> https://www.nctv.nl/ te laten redirecten, kun je de middelste stap overslaan als je vanuit https://www.nctv.nl/ de browser iets laat ophalen vanaf https://nctv.nl/ (bijv. ...