Как Firefox реализует HSTS в деталях?

См. http://hg.mozilla.org/mozilla-central/file/20bbf73921f4/netwerk/protocol/http/nsHttpChannel.cpp#l1072, а затем http://hg.mozilla.org/mozilla-central/file/20bbf73921f4/security/manager/boot/src/nsStrictTransportSecurityService.cpp#l249, который вызывает http://hg.mozilla.org/mozilla-central/file/20bbf73921f4/security/manager/boot/src/nsStrictTransportSecurityService.cpp#l147

Таким образом, данные в конечном итоге хранятся в диспетчере разрешений, который является обычным местом для хранения информации о каждом хосте в Firefox. Диспетчер разрешений хранит свое состояние в permissions.sqlite, я думаю.

Сайты, которые хотят, чтобы HTTP Strict Transport Security (HSTS) применялось принудительно, отправляют заголовок в ответ - Strict-Transport-Security: max-age=31536000 максимальный возраст соответствует времени истечения срока его действия. Он отправляется при каждом запросе, так что он обновляется гораздо чаще каждый раз, когда его запрашивают.

Браузер (я пробовал только Firefox) хранит эти данные вместе с ним и будет использовать их каждый раз при доступе к сайту. Это верно даже для режима инкогнито. Если вы когда-либо заходили на сайт раньше в режиме без инкогнито, то детали этого сайта сохраняются и используются, даже если вы попытаетесь открыть его сейчас в режиме инкогнито.

Для firefox эти данные хранятся в файле с именем SiteSecurityServiceState.txt, который находится в папке вашего профиля firefox. Вы можете ввести about:support в браузере, а затем выбрать «Показать в папке», чтобы открыть папку своего профиля, где вы можете найти этот файл.

Я не уверен насчет предопределенных сайтов, но выше приведен файл, в котором данные HSTS обычных сайтов обновляются для Firefox.

Дополнительные сведения: Основные сведения о строгой транспортной безопасности HTTP (HSTS)

PS: Ссылка выше ведет на мой личный блог, в котором есть более подробная информация о HSTS.