Você está entendendo mal o modo como a HSTS (HTTP Strict Transport Security) funciona. Se você habilitar este cabeçalho, então os navegadores clientes que suportam HSTS devem se recusar a fazer conexões HTTP simples com seu domínio (e potencialmente todos os subdomínios) em qualquer porta.
Se um usuário tentar se conectar ao link (porta implícita 80), o navegador será alterado automaticamente para link (porta implícita 443)
Se o usuário tentar se conectar ao link (ou a qualquer porta diferente de 80/443), o navegador mudará automaticamente isso para link (ou qualquer porta especificada).
Se você ativar o HSTS, deverá estar preparado para veicular o tráfego HTTP all para seu domínio por meio de uma conexão segura.
Eu não sei o que você fez para supostamente contornar isso, mas se funciona ou não é uma violação da especificação HSTS e, mesmo se funcionar agora, é provável que pare de funcionar no futuro. / p>
A resposta correta é configurar adequadamente a porta 8000 para atender ao tráfego em uma conexão segura.
Veja a RFC, seção 8.3, para mais detalhes link
-
Editar: Apenas um ponto extra de esclarecimento, caso isso seja importante em seu cenário;
Observe que a HSTS não se importa com qual servidor ou endereço IP você usa. Depois de começar a veicular o cabeçalho de um determinado domínio de em qualquer lugar , você deve veicular todo tráfego HTTP para esse domínio em qualquer servidor por meio de uma conexão segura .
O outro lado disso é que, se você tiver um servidor compartilhado que hospeda vários domínios, os domínios que não estiverem exibindo o cabeçalho HSTS poderão continuar operando em HTTP simples a partir do mesmo servidor. A HSTS se preocupa com o domínio, não com o servidor.
Portanto, se o serviço que você tem na porta 8000, por algum motivo, não puder operar via HTTPS, outra opção seria hospedá-lo em um domínio ou subdomínio diferente. Se você optar por usar um subdomínio, precisará ter certeza de que o cabeçalho da HSTS não foi definido para incluir subdomínios.