Существует явная проблема с этим подходом - если вы выполняете автоматическое перенаправление без SSL на веб-страницу SSL, вы теряете безопасность, которую должен обеспечивать SSL. Т.е. если кто-то может использовать MITM на вашем веб-сервере, не поддерживающем SSL, он может перенаправить на свой собственный действительный сервер SSL (с реальным сертификатом), и браузер не почувствует разницу.
т.е. http://www.example.com перенаправляет на https://www.example.com, может быть подорван человеком в средней атаке, где фальшивая http://www.example.com перенаправляет на https://i -will-steal-your-credit-card .com , и пока i-will-steal-your-creditcard.com имеет действительный сертификат, браузер не будет предупреждать пользователя о том, что что-то не так, пользователь увидит маленький значок замка и будет думать, что все остыть и начать вводить номера кредитных карт.
Лучше иметь страницу, которая объясняет, что они действительно хотят, это SSL-версия URL и кликабельная ссылка. Конечно, плохой парень может сделать то же самое, но параноидальные люди всегда проверяют ссылку, которую они нажимают, на самом деле ссылки на то, что он говорит.
Конечно, большинство людей не параноики и будут раздражительны по поводу дополнительного шага - поэтому, если у вас есть какие-то маркетологи, принимающие решения по этому поводу от вас - скорее всего, вы в конечном итоге сделаете это http-> https с автоматическим перенаправлением , Это потому, что маркетинг и клиенты обычно не понимают SSL.