hi,

Gibt es eine zusätzliche (beachtenswerte)
Server-Belastung durch die SSL-Entschlüsselung?

der server muss nicht nur "ent-", sondern auch "ver-" machen.

Ich würde gerne nach dem LOGIN allen Traffic über https laufen lassen,
möchte andererseits den Server aber auch nicht ausbremsen.

wenn es schon im vorfeld _begründete_ verdachtsmomente gibt, dass der server das "nicht packen" könnte - dann sollte m.E. ein "besserer" server her, anstatt abspeckungen am geplanten konzept vorzunehmen.

Ist sowas ratsam/möglich,
oder sollte man die SSL-Verbindungen auf
LOGIN und den späteren Bestellvorgang beschränken?

kommt drauf an ...

wann soll der kunde sich einloggen müssen/können?
wenn du ihm beispielsweise die möglichkeit geben willst, "ältere" warenkorbinhalte/lesezeichen auf bestimmte artikel/etc. aus vorherigen sessions wieder anzeigen zu lassen, ist ein login wohl schon recht früh erforderlich.

wenn du hingegen das "stöbern" beim betreten der seite und füllen eines warenkorbes erst mal nur per session regeln willst, und der login erst im zuge des eigentlichen bestellvorgangs stattfindet - dann wäre es m.E. auch denkbar, mit dem übergang zur gesicherten verbindung zu lange zu warten.

was du auf jeden fall nicht machen solltest: gesicherte und ungesicherte elemente "mischen", beispielsweise bilder auf einer gesicherten seite nur per http:// einbinden o.ä.

dann kommt (je nach browser) immer die warnmeldung, dass "sichere und nicht sichere objekte" auf der seite vorhanden wären, und ob man die nicht sicheren anzeigen lassen möchte oder nicht.
je nach erfahrenheit des benutzers stört ihn dieses ständige meldung, oder verunsichert ihn gar in bezug auf die sicherheit deines shops.

gruß,
wahsaga