Если у вас просто перенаправления HTTP -> HTTPS, клиент все равно может попытаться отправить вам конфиденциальные данные (или получить URL, содержащий конфиденциальные данные) - это сделает его открытым для общественности.Если бы он знал, что ваш сайт был HSTS, то он даже не попытался бы получить доступ к нему через HTTP, и, таким образом, раскрытие было исключено.Это довольно маленькая победа IMO - большие риски связаны с огромным количеством корневых ЦС, которым все слепо доверяют благодаря политикам Microsoft, Mozilla, Opera и Google.