HSTSヘッダーが存在する場合、ChromeでHTTPSが強制されないのはなぜですか？

Question

サーバー側からHSTSヘッダーを既に有効にしている場合は、Google Chromeがそれを無視する理由を教えてください。私はhttpで自由にウェブサイトにアクセスできます。私はブラウザがHTTPSだけでロードするようにウェブサイトを強制すべきであると期待しています。結局のところ、HSTSはその目的のためです。私が間違っていれば私を修正してください。 参考：Video

Connection:keep-alive 
Content-Encoding:gzip 
Content-Type:text/html; charset=UTF-8 
Date:Mon, 18 Dec 2017 07:15:18 GMT 
Link:<http://example.com/wp-json/>; rel="https://api.w.org/" 
Server:nginx 
Set-Cookie:wfvt_1954975060=5a376b06351b6; expires=Mon, 18-Dec-2017 07:45:18 GMT; Max-Age=1800; path=/; HttpOnly 
Strict-Transport-Security:max-age=63072000; includeSubdomains; 
Transfer-Encoding:chunked 
Vary:Accept-Encoding 

Answer 1

Strict-Transport-Securityヘッダーは、HTTPSページにのみ有効です。 HTTPページでは無視されます。ユーザーにHTTPSを使用させ、すべてのHTTPページからHTTPSにリダイレクトしたい場合は、リダイレクト先のページにStrict-Transport-Securityというヘッダーを付けます。

MDN explains why：

注：サイトがHTTPを使用してアクセスされたときにStrict-Transport-Securityヘッダがは、ブラウザによって無視されます。これは、攻撃者がHTTP接続を傍受してヘッダーを挿入または削除する可能性があるためです。証明書のエラーがなくHTTPS経由でサイトにアクセスすると、ブラウザはサイトがHTTPS対応であることを認識し、Strict-Transport-Securityヘッダーを尊重します。