Почему нельзя отправлять заголовок HSTS по HTTP?
Что будет больно; клиенты могли воспринять это как подсказку для перенаправления на https.
HTTP-запросами могут манипулировать третьи стороны (смягчение этого - одна из основных целей HTTPS). Что произойдет, если третья сторона изменит HTTP-ответ, добавив заголовок HSTS? Представьте, что это происходит с сайтом, который не поддержка HTTPS. Теперь клиент пытается получить доступ к сайту по протоколу HTTPS, который не поддерживается. Вуаля: третья сторона полностью заблокировала доступ к сайту (и в течение некоторого времени, если это был долгосрочный заголовок HSTS).