Google broke my local domains

My laptop's name is boo, and all the web projects I'm developing on my laptop have a domain name $project.boo. Today I wanted to open http://archive.boo/ in Firefox and got an error message:

Kein Verbindungsversuch unternommen: Mögliches Sicherheitsproblem

Firefox hat ein mögliches Sicherheitsrisiko erkannt und daher archive.boo nicht aufgerufen, denn die Website benötigt eine verschlüsselte Verbindung.

archive.boo verwendet eine Sicherheitstechnologie namens "HTTP Strict Transport Security (HSTS)", durch welche Firefox nur über gesicherte Verbindungen mit der Website verbinden darf. Daher kann keine Ausnahme für die Website hinzugefügt werden.

My local Apache web server does not server any HSTS headers, and tracing the HTTP request in Wireshark shows me that no HTTP request is made at all. Only a HTTPS request.

It turns out that the .boo top level domain (TLD) is owned by Google and that it is on the HSTS preload list for both Firefox and Chromium.

Game over. I could try to disable HSTS in the browser (which I won't do), or I move to a new development TLD (that is specific to my machine, so I can share links in my network).

Written by Christian Weiske.

Comments? Please send an e-mail.