Los datos de mi sitio web se transfieren a través de HTTPS. Hasta donde entiendo esto, hay un certificado emitido por CA que es proporcionado por el servidor para cada cliente, el cliente y el servidor deciden cómo cifrar y descifrar la información que se está intercambiando y desde este punto y en la comunicación solo de esta manera. Esto es básico HTTPS.
Ahora no entiendo dónde encaja aquí el encabezado Strict-Transport-Security. Cuando el servidor lo envía en respuesta, el navegador realizará la comunicación solo a través de HTTPS. Y en caso de que algunas URL aún sean HTTP, las transformará automáticamente a HTTPS.
Aquí está la pregunta: si hemos configurado HTTPS como lo he descrito en el primer párrafo, ¿sigue siendo necesario enviar el encabezado Strict-Transport-Security con la respuesta del servidor? Si es así, ¿para qué sirve?