Atualmente, nosso site redireciona as solicitações enviadas para http://example.com para https://example.com - tudo além disso é veiculado por SSL. Por enquanto, o redirecionamento é feito com uma regra de reescrita do Apache.
Nosso site está lidando com dinheiro, portanto, a segurança é muito importante. Permitir HTTP deste modo representa um maior risco de segurança do que simplesmente não abrir ou escutar na porta 80? Idealmente, é um pouco mais fácil de redirecionar.
(Estou ciente de que o SSL é apenas uma das grandes questões de segurança, portanto, faça a suposição generosa de que fizemos pelo menos um trabalho "muito bom" de cobrir várias bases de segurança.)
Você está fazendo a coisa certa ao redirecionar http para https (supondo que você use redirecionamentos 301).
Uma coisa adicional que você deve considerar seria ativar a Segurança de transporte restrita para que os navegadores saibam que se trata de uma Web site eles devem se conectar apenas via https.
Na verdade, pode criar um problema de segurança se for feito incorretamente, mas considerando que os maiores bancos e empresas financeiras do mundo [efetivamente] fazem isso por seus serviços on-line, acho que você está seguro, ou pelo menos em boa companhia.
O Stack Overflow tem um tópico mais antigo sobre o tópico e, como observado, você quer ter certeza de ativar HSTS , caso contrário, há possíveis problemas com ataques MiTM e possíveis sessões seqüestro.
E, a propósito, a maneira recomendada de fazer isso é com uma regra VirtualHost em vez de mod_rewrite .