Je crois que c'est ce qui est prévu, et que c'est en fonction du site que tu visites :
- soit tu surfes sur un site qui utilise HSTS, alors il n'enverra jamais de requête sur HTTP mais que sur HTTPS, et là il sera très strict
- soit tu surfes sur un site qui ne l'utilise pas (pour les applications non-critiques comme tu dis) et le comportement deviendra un comportement normal
Chrome, qui utilise apparemment aussi cette fonctionnalité, a aussi une liste statique de serveurs qui utilisent le HSTS, pour éviter de se faire attaquer la première fois qu'on visite le site (l'information est transmise normalement avec un header sur le site HTTP, donc facilement manipulable par une attaque man in the middle, ou encore un virus).
[^] # Re: Certificat auto-signé
Posté par Cyril Pascal (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 5.
- soit tu surfes sur un site qui utilise HSTS, alors il n'enverra jamais de requête sur HTTP mais que sur HTTPS, et là il sera très strict
- soit tu surfes sur un site qui ne l'utilise pas (pour les applications non-critiques comme tu dis) et le comportement deviendra un comportement normal
Chrome, qui utilise apparemment aussi cette fonctionnalité, a aussi une liste statique de serveurs qui utilisent le HSTS, pour éviter de se faire attaquer la première fois qu'on visite le site (l'information est transmise normalement avec un header sur le site HTTP, donc facilement manipulable par une attaque man in the middle, ou encore un virus).
Cf : http://sites.google.com/a/chromium.org/dev/sts