Ваш потребитель API передает все в открытом виде: все свои данные, аутентификацию и т. Д. c. А на вашем новом сервере вы перенаправляете на «тот же» URL, просто используя https? Соединение https теперь будет безопасным, но все ваши данные и аутентификация давно просочились.
Поскольку мы ничего не знаем о вашем клиенте API, технически это может быть веб-браузер, поддерживающий «безопасные» куки-файлы, например, он может не передавать аутентификацию в открытом виде. Но все же, все данные будут уже вне. Поскольку вы говорите, что не можете обновить клиентов, я предполагаю, что вы не находитесь в такой ситуации.
Итак: ответ - нет, это небезопасно. Удалите старый API, отслеживайте всех, кто к нему обращается. Как только их станет достаточно, сообщите им о прекращении службы http, чтобы они обновились. Или останься в безопасности - выбери свой яд.