@igami Ja, definitiv nicht BCP, was die da hingeschludert haben. Ob das bei einer Behördenwebseite BSI-konform ist? Immerhin HSTS — hat man einmal die sichere URL aufgerufen, sorgt _dieser_ Browser dafür, daß immer die TLS-Verbindung verwendet wird. (Anderer Browser gibt dann wieder 404 ohne https://-Präfix.)