Я считаю, что это вызвано HSTS - см. http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Если у вас (разработаны) любые другие локальные сайты, которые отправьте заголовок HSTS ...
, например. Строгая транспортная безопасность: max-age = 31536000; IncludeSubdomains; preload
... тогда, в зависимости от значения max-age, будущие запросы на localhost должны будут обслуживаться через HTTPS.
Чтобы обойти это, я сделал следующее.
Это не постоянное решение, но, по крайней мере, оно будет работать между проектами. Если кто-то знает, как навсегда исключить локальный хост из списка HSTS, пожалуйста, дайте мне знать:)
UPDATE - ноябрь 2017
Недавно Chrome переместил этот параметр, чтобы сидеть в разделе политики безопасности домена домена
ОБНОВЛЕНИЕ - декабрь 2017 Если вы используете домен .dev, см. другие ответы ниже, так как Chrome (и другие) заставляют HTTPS через предварительно загруженный HSTS.