Souhlasím s tím, že tahle změna měla přijít mnohem dřív. HSTS funguje jenom při druhé a další návštěvě, kdy prohlížeč zároveň už může pracovat s historií. Díra je právě v té první návštěvě, což je zároveň jediný případ, kdy prohlížeč musí u ručně napsané adresy „tipnout“ HTTP nebo HTTPS. A Chrome prostě dost dlouho používal nebezpečný default, a to zbytečně – aby se ušetřily dvě tři vteřiny u webů, které neřešily bezpečnost. Rok 2015 byl asi na tuhle změnu opravdu brzo, ale třeba v roce 2016 nebo 2017 už na to byl čas. Je prostě divné, když prohlížeč na jednu tlačí na používání HTTPS, a na druhou stranu volí HTTP, když je volba na něm.