HSTS ist schon eine gute Lösung.
1. MITM ist ausgeschlossen, sobald ich eine Webseite einmal besucht habe, bevor der Angriff stattfindet.
2. Alle Webseiten, die in der HSTS-Preloaded-Liste stehen, sind auch beim ersten Besuch sicher.
Es ist wahr, dass die HSTS-Preloaded-Liste nicht für das ganze Internet skalieren wird. Momentan werden aber, soweit ich weiß, alle Anträge akzeptiert. Außerdem sollte es, selbst, wenn irgendwann einmal nicht mehr alle Anträge akzeptiert werden, kein Problem sein, die für Angreifer wirklich interessanten Seiten in der Liste unterzubringen.