Посмотрите, что отдаёт сервер сайта: цепочку редиректов с кодами ответа, тип веб-сервера и наличие заголовков безопасности (HSTS, CSP, X-Frame-Options и других).
Заголовок, заставляющий браузер всегда использовать HTTPS для сайта, защищая от подмены.