Risposta breve:
Sì, per definizioni definibili di sicurezza.
HSTS ti protegge dagli attacchi di tipo sslstrip per i siti che hai visitato di recente utilizzando una connessione non compromessa (o per alcuni siti di browser che sono memorizzati in un "elenco di precaricamento" codificato).
Il normale sistema di CA SSL protegge dagli attacchi MITM delle connessioni ssl laddove l'autore dell'attacco non ha compromesso il sistema CA.
HKP (che viene spesso utilizzato in combinazione con HSTS) offre un elevato grado di protezione contro i compromessi del sistema CA pubblico per i siti che hai visitato prima (o per alcuni siti di browser che sono memorizzati in un elenco di precarichi precisi "). Esattamente quanto dipende da quali chiavi l'operatore del sito decide di bloccare, se pin un certificato intermedio piuttosto che i certificati server, allora l'entità che controlla quel certificato intermedio può MITM.
HKP non protegge dagli attacchi MITM da parte di root aggiunti manualmente al trust store. Si trattava di una deliberata idea progettuale per consentire ai sistemi di ispezione SSL aziendali di continuare a funzionare.
Nessun sistema basato su SSL ti protegge dagli attacchi MITM se gli aggressori sono riusciti a compromettere la chiave privata del server legittimo.
Ovviamente c'è sempre il rischio di bug nella progettazione del protocollo o implementazione o debolezza nella crittografia sottostante.
Ho coperto un carico di scenari in modo più esplicito nel mio post (piuttosto lungo) all'indirizzo link