FYI - i HSTS se dá vypnout, není na doživotí :). Ale je třeba to udělat ještě v době, kdy webové stránky fungují na https a kdy tam přijde uživatel a jeho prohlížeč patřičnou hlavičku zaznamená.
To samozřejmě ano, ale pak je třeba čekat celou původně nastavenou dobu (třeba rok) než nakešovaná informace vytiká všem uživatelům, kteří na webu dříve byli. Takže je možné se toho zbavit, ale ne hned. Ještě rok je třeba držet platný certifikát.