Hallo Tom,

der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.

... und damit auch alle darin enthaltenen Links.

der Strict Transport Security-Header macht nur bei Seiten Sinn, die per https ausgeliefert werden. Darin enthaltene Links sollten auch auf https basieren. Aber wenn aus so einer Seite auf http verlinkt wird, wird die verlinkte Seite eben auch so aufgerufen und es gelten mögliche 301-Weiterleitungen auf https oder eben HSTS.

Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?

Ich vermute, im Benutzerprofil.

Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?

Wenn die einen HSTS-Header senden, wird beim nächsten mal die Seite per https Aufgerufen.

Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.

Gruß
Jürgen