Não é um problema do lado do servidor. É assim que o Strict-Transport-Security funciona, e se não funcionasse, seria inútil - são navegadores que lembram dessa configuração e não há nada que você possa fazer depois que os visitantes os viram. A solução é ter muito cuidado e não definir esse cabeçalho a menos que você realmente queira.
Dito isso, há uma solução simples: atende tudo por SSL e deixa de ser um problema.