Игнорировать HSTS в браузере для поддомена

Я не уверен, что это поможет в вашей конкретной ситуации (и вы знаете об этом "решении"), но одним из возможных способов будет очистка кэша HSTS браузера. Возможно, также можно сопоставить его со специальным ключом (комбинацией), что облегчит его использование.

Вот как это сделать с Chromium:

1. Закройте все открытые вкладки, связанные со страницей, на которой возникает проблема.
2. В новом типе вкладок chrome://net-internals/#hsts.
3. Найдите заголовок раздела "Домен запроса", введите домен, который испытывает проблему, в текстовое поле рядом с "Домен:" и нажмите кнопку с надписью Запрос.
4. Любые домены, которые появляются под поисковым запросом, необходимо удалить.
5. Найдите заголовок раздела "Delete Domain" (Удалить домен), введите в текстовое поле рядом с "Domain:" (Домен:) испытывающий проблему домен и нажмите кнопку с надписью Delete (Удалить).
6. Повторяйте шаги с 3 по 5 до тех пор, пока результаты запроса в шаге 3 не будут в состоянии "Не найден" (Не найден).
7. Закройте браузер и заново откройте его, теперь ваша проблема должна быть решена.

Дополнительное примечание: Это работает только в том случае, если ваш домен не входит в список предварительно загруженных HSTS.

Нет, нельзя добавить исключение. Но HSTS только объявляет, что должен быть действительный сертификат, ничего о том, какой это сертификат (для этого есть заголовок HPKP), поэтому вы можете сгенерировать собственный самоподписанный сертификат, импортировать его в chrome в качестве доверенного сертификата, и HSTS будет хорошо работать даже на локальном хосте.