L'applicazione su cui sto lavorando è accessibile solo tramite l'indirizzo IP, quindi la connessione HTTPS viene fornita tramite un certificato personalizzato.
Ho spiegato al mio cliente che (dai documenti MDN )
[...] when your site is accessed over HTTPS with no certificate errors, the browser knows your site is HTTPS capable and will honor the Strict-Transport-Security header.
quindi non funziona con il certificato self-sigend, ma lo vuole comunque a causa di (citando) "ragioni di sicurezza".
L'intestazione HSTS ha qualche utilità in caso di certificati autofirmati?