Почему браузеры жалуются на небезопасные ресурсы на странице HSTS

Я только что стал свидетелем (для меня) странного поведения браузера, которое я не совсем понимаю. После того, как я настроил Nginx для поддержки HSTS, я протестировал один vhost со следующим index.html:

<p>Internal Source:</p>
<img src="Picture1.jpg">
<p>Internal HTTP Source:</p>
<img src="http://samedomain.com/Picture1.jpg">

HSTS устанавливается через:

add_header Strict-Transport-Security "max-age=31536000" always;

Если я правильно понимаю HSTS, браузер делает что-то вроде s/http://samedomain.com/https://samedomain.com/ ДО того, как он начинает загружать ресурсы. Поскольку у меня только 443 прослушивания и все ресурсы загружаются, я думаю, что я прав.

Поскольку все работает нормально, я понятия не имею, почему каждый браузер (протестированный с последними версиями: Safari, Firefox, Chrome) указывает на небезопасное соединение. Даже инспекторы говорят, что все ресурсы загружены через безопасные соединения.

PS: с "add_header Content-Security-Policy обновления-незащищенные-запросы;" установить браузер не жалуется. Но я не могу установить UIR, потому что кто-то может загружать незащищенный контент. В этом случае он должен явно жаловаться, но он также должен отображать все.

Я надеюсь, что кто-то может просветить меня:-)