ist HTTPS ohne automatische Weiterleitung überall auf einer (Sub-)Domain und HTTP Strict Transport Security (HSTS) relativ sinnlos, weil du praktisch den „Downgrade“ auf eine unverschlüsselte Verbindung nicht verhinderst.

Die automatische Weiterleitung kann in die Hose gehen – je nachdem, auf wie viele Besucher mit älteren Browsern, ich denke hier speziell an Telefone, man verzichten möchte.

Ich halte es da lieber mit dem Senden von HSTS über die unverschlüsselte Verbindung; das bezieht die Weiterleitung bei verständigen Browsern mit ein, während ältere, die das nicht kennen, auch nicht über aktuelle Verschlüsselungsprotokolle stolpern.

In der Praxis ist das jedoch zweifelsohne Abwägungssache im Einzelfall.

Wieso willst du nicht alle Seiten (= einzelne Dokumente) verschlüsselt ausliefern?

Das frage ich mich allerdings auch. Niemand hat einen Vorteil davon, wenn nur eine von zwei Seiten verschlüsselt wird. Und in diesem speziellen Fall macht dieses Durcheinander ja offenkundig auch noch Schwierigkeiten.