Bem, eu o movi para lá, mas o problema inicial é que alguém alegou que não definir includeSubDomains era uma questão de segurança.
Eu adoraria se alguém que soubesse e se importasse se ter includeSubDomains no cabeçalho STS era importante pudesse abordar a questão para que talvez eu pudesse dizer a essa pessoa que centenas de milhares de outros sites discordam e que talvez o script que alguém executou para encontrar essas “falhas de segurança” esteja errado.
Então, talvez eu devesse renomear isso para “falta de includeSubDomains no cabeçalho STS considerado prejudicial”.