Aber ist das logisch, dass der gleiche Request unterschiedlich behandelt wird, einmal 302, dann später 404?

Vermutlich war der erste Aufruf mit http://..., bekam die Weiterleitung zum https-Protokoll (302) und nachfolgend wurde es mit https:// versucht und erst jetzt bemühte sich der Indianer darum, überhaupt nach der Datei zu sehen: die gibt es nicht → 404.

Der Zeitunterschied ist dadurch zu erklären, dass das kein normaler UserAgent (Browser) ist, sondern ein Programm, welches abertausende Webseiten „abklopft”. Die mit dem 302er gelieferte neue URL wird da in eine Jobliste eingereiht.

Wenn Du also selbst HTTPS erzwingst, dann ist das ganz normal. Abgesehen davon, dass (wie schon Martin schrieb) jemand nach unsicherem Zeug sucht. Das scheint ein Standard-Penetrationstest zu sein: Bei meinem Server @home wird auf den Versuch des Abrufs von /\.well-known/ (und einer Liste anderer URLs) mit einer 60 Minuten-Sperre in der Firewall reagiert. Das scheint zu reichen.