Você deve ativá-lo globalmente, caso contrário, ficará vulnerável à situação em que um invasor modifica o formulário não criptografado para enviar todos os dados do usuário para evilserver.com em vez de para o que você deseja (ou porque o invasor está ativamente escutando, modifique a ação do formulário para usar HTTP em vez de HTTPS).
Você também pode entrar em uma dor de cabeça de configuração, criptografando apenas em caminhos seletivos. Geralmente, é mais fácil criptografar tudo e isso evita o ataque mencionado acima.