A solicitação GET redirecionada para HTTPS é segura?

Tão seguro quanto ir diretamente para HTTPS de HTTPS? Não.

Mais seguro do que não redirecionando? Sim.

O vetor de ataque ao redirecionar de HTTP para HTTPS é que um MITM poderia modificar o redirecionamento para redirecionar o usuário para uma versão não HTTPS (também conhecido como remoção SSL ou ataque de downgrade HTTPS). Navegar diretamente para HTTPS (ou ser levado para lá de uma página HTTPS) impediria isso completamente, mas redirecionar o usuário de uma página não HTTPS ainda tem os seguintes benefícios de segurança:

• O usuário está vulnerável a uma janela muito mais curta, possivelmente apenas uma única solicitação
• Os usuários ainda podem verificar manualmente se o HTTPS está sendo usado e identificar quando o redirecionamento não ocorreu

HSTS tenta resolver isso, mas ainda é vulnerável se a primeira solicitação contiver o cabeçalho Strict-Transport-Security ocorre sobre HTTP simples.

Antes de os https aparecerem, eles são HTTP simples em conexões TCP. Sim, pode ser bisbilhotado, mas na verdade não é fácil. Talvez um pouco de spoofing de DNS possa ser usado na maioria dos casos.

Um sloop ingênuo era difícil, o TCP tem um id de sessão que talvez não seja muito longo, mas impede tais tentativas. AFAIK em tais casos, o spoofing dns é uma alternativa viável.

De qualquer forma, é certamente muito melhor como se o redirecionamento não existisse (o visitante incapaz de digitar "https" na linha de endereço caísse), e também muito melhor se em vez de redirecionar, o visitante recebesse uma criptografia puramente site gratuito.