Собственно, это адрес в спецификации для HSTS, RFC 6797 (выделено мной):
11.3. Использование HSTS в сочетании с самоподписанными сертификатами открытых ключей
Если все четыре из следующих условий выполняются ...
o веб-сайт / организация / предприятие генерирует собственные сертификаты открытого ключа безопасного транспорта для веб-сайтов, и
[...]
... тогда безопасные подключения к этому сайту потерпят неудачу, согласно проекту HSTS. Это необходимо для защиты от различных активных атак, как обсуждалось выше.
[...]
Однако, если указанная организация желает использовать свой собственный CA и самозаверяющие сертификаты совместно с HSTS, она может сделать это путем развертывания своего корневого сертификата CA в браузерах своих пользователей или хранилищах корневых сертификатов CA операционной системы. Кроме того, он может или вместо этого распространять в браузерах своих пользователей сертификат (ы) конечного объекта для конкретных хостов.
Так что вам нужно сделать одно из них:
- подписать собственный сертификат с сертификатом CA (который вы также сгенерировали) и установить сертификат CA в браузер (или в магазин ОС, если браузер его использует)
- установить самоподписанный сертификат в браузер или магазин ОС
Как установить сертификат зависит от браузера; Есть несколько ответов о том, как это сделать.
На самом деле, это то, что вы должны делать даже без HSTS, так как это предотвращает обычные предупреждения сертификатов. Тем не менее, с HSTS это на самом деле единственный путь.