add_header Strict-Transport-Security 'max-age=604800';
А чего вы ожидали? )
Как только браузер зайдет на этот хост по https, он больше не будет обращаться на него по http из-за полученного заголовка Strict-Transport-Security (переводится как "всегда используй HTTPS для связи с этим сайтом").
Как его сбросить в браузере, кстати, хрен знает - чистка кеша не помогает.