RailsでHSTS includeSubDomainsを外す方法

Rails5からforce_sslを設定しているHSTSでサブドメインまで対象にされてしまうようで設定から外したい

config/initializers/new_framework_defaults.rb に以下を追加でサブドメインを外すことができます

Rails.application.config.ssl_options = { hsts: { subdomains: false } }

参考

ssl - How can I turn off includeSubDomains for HSTS in rails? - Stack Overflow