Es mejor dejar que el propietario del sitio decida si los subdominios se ven afectados, al igual que el propietario del sitio decide si utilizar HSTS en absoluto. La flexibilidad adicional podría ayudar a mejorar la adopción de HSTS al reducir los obstáculos de compatibilidad.
Es posible que algunos de los servicios de subdominio aún no tengan un servidor HTTPS instalado. Hay algunos casos en los que no es importante para la seguridad tener HTTPS en ciertos subdominios.
Eso responde por qué includeSubDomain
no es obligatorio.
Uno todavía podría preguntar por qué no es el predeterminado:
Para esto, me gustaría señalar que no se puede deshacer el HSTS, excepto que le pida a sus visitantes que borren el caché en su propio navegador. Es probable que sus visitantes no hagan esto.
Entonces, si aplicó HSTS accidentalmente a más de lo que tenía previsto, ese (sub) dominio se desactivará permanentemente para esos visitantes hasta que cambien de dispositivo o navegador, borren el caché en el navegador o el propietario del sitio instale un servidor HTTPS. (lo que podría ser técnicamente difícil en algunos servicios heredados)