Hallo

dein Kunde müsste auf die Dritt-Domains "Druck ausüben" - wie auch immer man das diplomatisch vermitteln kann -, dass sie ihre Ressourcen https-verschlüsselt anbieten.

Kann es sein, dass wir hier zwei Szenarien vermischen?

1. In eine über HTTPS aufgerufene Seite werden Ressourcen per HTTP eingebunden (Bilder, JS, CSS, you name it). Browser quittieren das mindestens mit einer Meldung oder verweigern das Laden gleich ganz. Das tun sie nicht überraschend seit heute sondern (zumindest bezüglich der Meldung) seit Jahren. Dass jemand davon überrascht wird, überrascht mich.
2. In einer per HTTPS aufgerufene Seite werden fremde Inhalte mit dem Protokoll HTTP verlinkt. Das sollte überhaupt kein Problem sein, nicht zu Meldungen führen und auch keine Einflussnahme auf die Betreiber dieser Seiten erfordern.

Sind die Drittressourcen statisch? Könntet ihr die auf den Kundenserver replizieren?

Das dürfte Probleme mit dem Urheberrecht provozieren. Es verbietet einem aber niemand, die externen Ressourcen darauf zu prüfen, ob sie nicht auch per HTTPS erreichbar sind. Oft wurden externe Bilder oder WasAuchImmer ja vor Ewigkeiten eingebunden, als die allermeisten Seiten nur unverschlüsselt erreichbar waren und üblicherweise hat danach nie jemand geprüft, ob sich im Laufe der Jahre daran etwas geändert hat.

Tschö, Auge