Eu chamaria isso de uma escolha de configuração em vez disso.
O fórum está em um domínio raiz ou não?
Eu sempre digo às pessoas que somos muito cautelosos ao definir cabeçalhos que afetam outros nomes de host em seu domínio e que, se quiserem ter HSTS nesses, devem definir os cabeçalhos nesses respectivos hosts em vez disso.
A única razão válida que consigo pensar é que eles não podem fazer isso, por exemplo, quando o fórum está em um domínio raiz e o cliente não consegue controlar os cabeçalhos HSTS em outros hosts hospedados externamente, por exemplo, eles também hospedaram shopify.example.com. Então, eles basicamente vêm até você porque você é o caminho de menor resistência 