Respuesta corta:
Sí, para definiciones razonables de seguridad.
HSTS lo protege contra ataques de tipo sslstrip para los sitios que ha visitado recientemente usando una conexión no comprometida (o para algunos sitios de los navegadores que están almacenados en una "lista de precarga").
El sistema de CA de SSL normal lo protege contra ataques MITM de conexiones ssl donde el atacante no ha comprometido el sistema de CA.
HKP (que a menudo se usa en conjunción con HSTS) le brinda un alto grado de protección contra los compromisos del sistema público de CA para los sitios que ha visitado antes (o para algunos sitios de navegadores que están almacenados en una lista de precarga codificada) "). Exactamente cuánto depende de las claves que el operador del sitio decida fijar, si fijan un certificado intermedio en lugar de los certificados del servidor, entonces la entidad que controla ese certificado intermedio puede MITM.
HKP no protege contra ataques MITM por las raíces que usted agregó manualmente al almacén de confianza. Esta fue una descripción de diseño deliberada para permitir que los sistemas de inspección SSL corporativos sigan funcionando.
Ningún sistema basado en SSL lo protege de los ataques MITM si los atacantes han logrado comprometer la clave privada del servidor legítimo.
Y, por supuesto, siempre existe el riesgo de errores en el diseño o implementación del protocolo o debilidades en la criptografía subyacente.
Cubrí una carga de escenarios más explícitamente en mi (bastante larga) publicación en enlace