Aanvulling op mijn post hierboven: ik snap en weet niet waarom "https only" nog niet de standaard is in webbrowsers. Mogelijk is dat omdat sommige public WiFi-aanbieders willen dat je aanmeldt op hun portal. In plaats van dat zij daar een URL voor opgeven, kapen zij de eerste verbinding die je probeert te maken - en dat kan niet bij https. Sowieso werkt dit niet als je begint met een website die HSTS gebruikt, en die je recentelijk hebt bezocht: dan wijzigt de browser sowieso http in https voordat de verbinding gemaakt wordt (en met HSTS is er geen mogelijkheid om te kiezen voor "doe dan maar http"). Lastig daarbij is dat je er als internetter meestal geen idee van hebt of een https website een geldige HSTS-configuratie heeft. Onverwachte foutmeldingen bij public WiFi gerelateerd aan HSTS kun je bijvoorbeeld vinden in https://support.google.com/chrome/answer/6098869?hl=nl: Als de fout melding maakt van HSTS, privacycertificaten of ongeldige namen, probeer je de volgende stappen: Stap 1: Log in bij de ...