HSTS

FirefoxでXに載っていたURLをクリックすると接続できなかった。
潜在的な脅威らしい。

このサイトには HSTS というものが設定？指定？されているので安全な通信＝HTTPS とか TLS とかでしかアクセスできないという。

Xのリンクといってもユーザのページにあるリンクだ。

最近はブラウザでカーソルを当ててもスキーマが表示されない・・・と思ったが、これは HTTP だと表示せず、HTTPS だと表示するようになってるのかな？

ともかく、ソースコードを見ると http:// だった。
だったけど、 .dev だから？ HTTPS が強制されたようだ。

この強制するというのが HSTS というものだそうだ。その中でも、HTTP で読み込んでしまうと攻撃される可能性があるのでいくつかのドメインはブラウザの方で強制的に HTTPS で読み込みますね、というのが HSTS preload というしくみで、それが↑でチェックした内容だ。

なので今回は、ブラウザが自動で HTTP を HTTPS と読み替えてアクセスしたというだけのことで表示を禁止するような内容ではない。もしそれでダメなのなら最初から HTTPS でアクセスすれば回避できるはずだがそうはならなかった。

問題があったのは HTTPS でアクセスした後のことで、HTTPS で読み込んだけど証明書がドメインと違うというのが原因だった。

そりゃダメだな。
まあ、こっちは読み込む側だから無視すれば読み込めるのだが、そこまでして見たいわけではなかったしね。

しかし、証明書とドメインが異なるというのはどういうことだろうか。GitHub Pagesでも独自ドメインを付けられるが、ああいう設定をしていない状態なんかね。