As solicitações HTTP podem ser manipuladas por terceiros (a atenuação desse é um dos principais objetivos do HTTPS). O que acontece se um terceiro modifica uma resposta HTTP para adicionar um cabeçalho HSTS? Imagine que isso acontece com um site que não suporta HTTPS. O cliente agora tenta acessar o site por HTTPS, o que não é suportado. Voilà: o terceiro bloqueou completamente o acesso ao site (e por algum tempo, se fosse um cabeçalho HSTS de longo prazo).