Eu tenho um servidor local que atende HTTPS usando um certificado autoassinado. Não serve http. O certificado é emitido com cn = host1.subdomínio1.domínio1. O servidor também pode ser acessado com o nome host2. Se eu abrir https: // host2 , recebo avisos, mas posso definir uma exceção para o certificado e acessar o conteúdo dos servidores. O servidor não retorna e nunca retornou um cabeçalho HSTS. Se eu acessar o servidor via https: //host1.subdomain1.domain1 , o Firefox emitirá um aviso HSTS e não permitirá uma exceção. É possível que os servidores no domínio1 ou no subdomínio1.domínio1 entreguem cabeçalhos HSTS. Possivelmente eles se aplicaram a subdomínios também.
Mas: mesmo depois de limpar o histórico e as entradas about: Permissions, o comportamento é o mesmo. Então, de onde vêm as informações do HSTS?