Bueno, lo moví allí, pero el problema inicial es que alguien afirmó que no establecer includeSubDomains era un problema de seguridad.
Me encantaría que alguien que supiera y se preocupara por si tener includeSubDomains en la cabecera STS era importante pudiera abordar el problema para que quizás pudiera decirle a esta persona que cientos de miles de otros sitios no están de acuerdo y que quizás el script que alguien ejecutó para encontrar estas “fallas de seguridad” está mal.
Así que tal vez debería renombrar esto a “falta de includeSubDomains en la cabecera STS considerado perjudicial”.