Si lo alojo en HTTPS, ¿solo entonces serán necesarios los 2 encabezados restantes?
No, eso no es suficiente. Los encabezados no se excluyen mutuamente para HTTP o HTTPS.
HTTPS no elimina las vulnerabilidades contra las cuales algunos de los encabezados deben protegerte.
Por ejemplo, el encabezado X-Frame-Options evita que el encuadre de origen cruzado detenga los ataques clickjacking . Este riesgo no está relacionado con una conexión encriptada y tiene sentido para los sitios servidos a través de HTTP y HTTPS de manera similar.
Además, no hay "encabezados HTTPS", es solo que HSTS ( Strict-Transport-Security ) y HPKP ( Public-Key-Pins ) son Encabezados HTTP que indican específicamente al navegador cómo comportarse para las conexiones HTTPS.
[...] si tengo un blog que sirve páginas en HTTP y no tiene redireccionamiento HTTPS, entonces solo son necesarios los primeros 4 encabezados.
Dado que HSTS le indica al navegador que solo se conecte a través de HTTPS durante un tiempo determinado y HPKP especifica los hashes de clave pública para los certificados que el navegador debería aceptar, es correcto que estos dos encabezados no tengan sentido para un sitio web HTTP simple. . Sin embargo, dependiendo de su aplicación, solo establecer los encabezados de su lista no le garantizará un sitio web seguro. Le recomendaría que estudie el propósito de cada encabezado y otras medidas posibles para proteger su sitio.