"Je tak v podstatě vyloučeno na takovou stránku zaútočit útokem známým jako odstranění SSL."
Cože? Vždyť úplně stačí, když první připojení (nebo jakékoliv další po vypršení času) na danou stránku bude přes MITM, který tu HSTS hlavičku odstraní.
Pokud je potřeba tu komunikaci mít zabezpečenou, tak by server v první řadě vůbec neměl mít dostupné http a měl by poslouchat výhradně na https.