Mme michu ne met pas https quand elle va visiter un site web.
En temps normal : C'est la redirection mis sur ton site qui va forcer le https
Je vais maintenant imaginer une histoire tordue pour expliquer. Si l'opérateur XXXXXX au lieu de rediriger k-net.fr vers la bonne IP, redirige vers un site identique avec des prix 20€/mois plus cher, histoire de décourager les personnes de s'abonner à K-Net.
=> Sans HTTP Strict Transport Security, même michu, qui n'a pas mis https, verra les fausses offres proposées par XXXXXX.
=> Avec HTTP Strict Transport Security, si elle a déjà été visiter le site K-Net dans le passé, elle sera redirigé en https qui va afficher une alerte de sécurité qui va l'encourager à appeler K-Net plutôt que de regarder son site. Si elle n'a jamais visité le site, elle sera en http donc sans alerte.
=> Avec la liste pré-enregistrée dans Firefox de sites HTTP STS, même si Mme michu n'a pas été visiter le site K-Net, elle sera forcée en https.
Dans le cas de man in the middle, si 20% des personnes vont sur un site sans mettre https, tu peux facilement les berner.