Se você configurou https, deverá usá-lo em todos os lugares do site. Você evitará o risco de problemas de conteúdo misto e, se tiver as ferramentas necessárias, por que não tornar o site inteiro seguro?
Em relação ao redirecionamento de http para https, a resposta não é simples.
Redirecionar tornará muito mais fácil para os usuários, basta digitar whateversite.com e ser redirecionado para https.
Mas. E se o usuário estiver às vezes em uma rede insegura (ou estiver perto de Troy Hunt e seu abacaxi ) Em seguida, o usuário solicitará o link com o hábito antigo. Isso é http. Isso pode ser comprometido. O redirecionamento pode apontar para o link . Para um usuário comum, pareceria bastante legítimo. Mas o tráfego pode ser interceptado.
Portanto, temos dois requisitos concorrentes aqui: Ser amigável e ser seguro. Felizmente, existe um remédio chamado cabeçalho HSTS . Com isso, você pode ativar o redirecionamento. O navegador irá passar para o site seguro, mas graças ao cabeçalho HSTS também se lembra dele. Quando o usuário digita no whateversite.com sentado nessa rede insegura, o navegador irá para https imediatamente, sem passar pelo redirecionamento sobre http. A menos que você lide com dados muito confidenciais, acho que é um compromisso justo entre segurança e usabilidade para a maioria dos sites. (Quando eu instalei recentemente um aplicativo de tratamento de registros médicos, fui todos os https sem um redirecionamento). Infelizmente, o Internet Explorer não tem suporte para HSTS ( source ), portanto, se seu público-alvo estiver usando principalmente o IE e os dados é sensível você pode querer desabilitar redirecionamentos.
Portanto, se você não estiver segmentando usuários do IE, vá em frente e use o redirecionamento, mas também ative o cabeçalho HSTS.