<div dir="ltr">Thanks Eric!<div><br></div><div>It seems like I accidentally took this thread off-list. I think the summary for everyone else is: HSTS on <a href="http://omniti.com">omniti.com</a> accidentally trickled down to <a href="http://omnios.omniti.com">omnios.omniti.com</a>, affecting visitors who loaded up <a href="http://omnios.omniti.com">omnios.omniti.com</a> at just the right (wrong) time. HSTS headers should have been fixed now.</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-04-25 20:46 GMT+02:00 Eric Sproul <span dir="ltr"><<a href="mailto:eric.sproul@circonus.com" target="_blank">eric.sproul@circonus.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Jacob,<br>
The OmniTI folks did roll out HSTS recently, but (as I'm sure many<br>
others have) quickly realized that including all subdomains wasn't<br>
feasible.  They now no longer set that for <a href="http://omniti.com" rel="noreferrer" target="_blank">omniti.com</a>, and have set<br>
the max-age parameter to 1 second.  I'm not sure how you go about<br>
clearing the HSTS info from your browser, but if you do that, you<br>
should be good.<br>
<span class="HOEnZb"><font color="#888888"><br>
Eric<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
On Mon, Apr 25, 2016 at 10:35 AM, Eric Sproul <<a href="mailto:eric.sproul@circonus.com">eric.sproul@circonus.com</a>> wrote:<br>
> On Mon, Apr 25, 2016 at 10:26 AM, Jacob Vosmaer <<a href="mailto:contact@jacobvosmaer.nl">contact@jacobvosmaer.nl</a>> wrote:<br>
>> Thanks Eric.<br>
>><br>
>> I am not using HTTPS Everywhere. According to chrome://net-internals/#hsts<br>
>> <a href="http://omnios.omniti.com" rel="noreferrer" target="_blank">omnios.omniti.com</a> my Chrome thinks <a href="http://omnios.omniti.com" rel="noreferrer" target="_blank">omnios.omniti.com</a> wants 'Strict Transport<br>
>> Security'.<br>
>><br>
>> static_sts_domain: <a href="http://omniti.com" rel="noreferrer" target="_blank">omniti.com</a><br>
>> static_upgrade_mode: STRICT<br>
>> static_sts_include_subdomains: true<br>
>> static_sts_observed: 1461128400<br>
>><br>
>> That timestamp is about five days ago. Could it be that OmniTI temporarily<br>
>> deployed HSTS and I got unlucky?<br>
><br>
> Interesting... I'll ask my OmniTI colleagues.<br>
><br>
> Eric<br>
</div></div></blockquote></div><br></div>