Если доступ действительно публичный, я бы сказал, что это хорошее решение. Однако, если вы хотите ограничить доступ к своему сайту, вы, вероятно, захотите явно указать каждый разрешенный источник домена.
Поскольку вы говорите, что ваш ответ не содержит конфиденциальной информации, вам, вероятно, не нужно беспокоиться о размещении вашего сервиса по HTTPS. Единственная причина, по которой вы можете это сделать, - это если клиентская HTTPS-страница пытается получить доступ к вашей не-HTTPS-службе. В этом случае, я думаю, они получат предупреждение о небезопасной информации, отправляемой / получаемой при вызове вашей службы AJAX, и, возможно, даже просто тихом сбое. Если это достаточно распространенный случай, я бы сказал, заглядывая в сервис HTTPS. Убедитесь, что ваш сертификат HTTPS сертифицирован должным образом, потому что, если браузер клиента не может проверить сертификат, запрос AJAX автоматически завершится неудачей (в отличие от запроса при переходе непосредственно на страницу HTTPS)! Кроме того, я не знаю, как это будет происходить в вашем случае, но всякий раз, когда я работал с HTTPS, мне обычно приходилось настраивать что-то, чтобы они функционировали должным образом.
Короче говоря, я бы начал с HTTP, а затем оценил необходимость HTTPS. Удачи!