parece um 426 só deve ser lançado se você realmente tentou negociar o TLS e ele falhou. Como o usuário usou apenas o HTTP, ainda não sabemos seus recursos de SSL, então o que você gostaria de fazer é 301 o usuário para HTTPS e, se eles não conseguirem lidar com o TLS, você terá um 426.