O Rails adiciona um cabeçalho HSTS quando você define config.force_ssl = true
.
Como o erro é que ele está sendo duplicado, você provavelmente está configurando o nginx para definir o mesmo cabeçalho. Escolha entre rails ou nginx para fazer isso, não ambos.