Simplesmente: Devo redirecionar
http://example.org -> https://www.example.org
http://example.org -> https://example.org -> https://www.example.org
http://example.org -> http://www.example.org -> https://www.example.org
Isso importa? Estou usando HSTS.
Geralmente, eu diria que use o mínimo de redirecionamentos possível, mas dependendo da sua política de HSTS, a segunda opção (onde você acessa primeiro o mesmo nome de domínio com HTTPS;
http://example.org -> https://example.org -> https://www.example.org) pode ser a opção apropriada.O raciocínio aqui é que você realmente deseja que os clientes parem de fazer essa conexão HTTP inicial seqüestável, pois esse é o ponto principal do HSTS.
No entanto, se você os enviar entre domínios ao redirecioná-los para HTTPS, eles receberão apenas uma entrada HSTS para o domínio do destino de redirecionamento; eles ainda farão mais conexões HTTP para o domínio original (e serão redirecionados a cada vez), deixando-os vulneráveis a seqüestro cada vez que fizerem HTTP.
Você deve usar o número mínimo de redirecionamentos o máximo possível.
No entanto, ao usar o HSTS, faça:
http://example.org -> https://example.org -> https://www.example.org
É importante observar que a política HSTS se aplica apenas ao host (domínio) que envia o cabeçalho Strict-Transport-Security. Se https://example.org enviar o cabeçalho, a política se aplicará apenas a example.org, não a www.example.org. Assim, o acesso a www.example.org não resultará em um redirecionamento seguro para HTTPS; ele apenas atingirá o redirecionamento do lado do servidor, se configurado, o que não é seguro.
Ou seja, https://example.org e https://www.example.org não definem HSTS um para o outro.
Esta pergunta é respondida na perspectiva de evitar redirecionamentos, mas respeitar a segurança HSTS ao redirecionar entre domínios.